Sicherheitshinweis zu CVE-2022-42889

​​Diese Meldung wird laufend aktualisiert, sobald neue Informationen aus unseren Analysen hervorgehen. Bitte informieren Sie sich regelmäßig.

Letzte Aktualisierung: 27.10.2022, 18:30 Uhr MEZ

 

CVE-2022-42889 ist eine neue kritische Schwachstelle, die mit 9,8 bewertet wird. Weitere offizielle Informationen dazu finden Sie hier.

Apache Commons Text ist anfällig für Remote-Code-Ausführung (RCE) aufgrund von unzureichenden Standardbeschränkungen für die dynamische Auswertung von ${...} Strings während der Variableninterpolation mit der StringSubstitutor-API.

Diese Schwachstelle kann nur dann ausgenutzt werden, wenn es in der Komponente eine Abhängigkeit zu der anfälligen Bibliothek gibt, direkt oder vorübergehend, und diese ausdrücklich die anfällige API nutzt. Wir haben Risikoanalysen für alle unsere Produktlinien durchgeführt. Nachfolgend finden Sie unsere Ergebnisse und Empfehlungen.

enaio® (alle unterstützten Versionen: 9.10, 10.0, 10.10)

Zwar haben mehrere enaio®-Komponenten vorübergehende Abhängigkeiten zur Apache-Commons-Text-Bibliothek, aber keine von ihnen verwendet die anfällige StringSubsitutor-API. Daher gibt es keinen ausnutzbaren Angriffsvektor und enaio® ist nicht betroffen.

Wie üblich aktualisieren wir diese Abhängigkeiten in den anstehenden regulären Patchzyklen als Vorsichtsmaßnahme und um False Positives in Sicherheitsscans vorzubeugen.

Patches für enaio® gateway sind bereits verfügbar:

  • Version 9.10: osgateway_hotfix.exe, Version 9.10 Hotfix 27

  • Version 10.0: osgateway_hotfix.exe 10.0.11

  • Version 10.10: osgateway_hotfix.exe 10.10.5

Hinweis vom 29.11.2022

Beim Einspielen dieser Hotfixes kann es zu Problemen mit NTLM und Dashlets kommen. Daher wurden diese zurückgezogen. Bitte beachten Sie unsere aktuelle Release-Warnung dazu.

yuuvis® RAD (alle unterstützten Versionen: 7.16 LTS, 8.x)

Nicht betroffen.

yuuvis® Momentum (alle unterstützten Versionen: 2020 Winter eLTS, 2021 Winter LTS, 2022 Autumn)

Zwar haben mehrere yuuvis® Momentum-Komponenten vorübergehende Abhängigkeiten zur Apache-Commons-Text-Bibliothek, aber keine von ihnen verwendet die anfällige StringSubsitutor-API. Daher gibt es keinen ausnutzbaren Angriffsvektor und yuuvis® Momentum ist nicht betroffen.

Wie üblich aktualisieren wir diese Abhängigkeiten in den anstehenden regulären Patchzyklen als Vorsichtsmaßnahme und um False Positives in Sicherheitsscans vorzubeugen.