Ce document décrit notre position par rapport à la prise en charge d’un produit ou d’un service Trellix.
Réponse Trellix à la vulnérabilité Apache de type texte de la vulnérabilité CVE-2022-42889 :
Présentation
Ce document traite des préoccupations relatives à l’site ePolicy Orchestrator (ePO) et à la vulnérabilité de type texte Apache de la vulnérabilité documentée dans
CVE-2022-42889.
Description
CVE-2022-42889
Apache texte de la propriété de l’exécution d’une interpolation variable, ce qui permet d’évaluer les propriétés et de les développer de manière dynamique. Le format standard pour l’interpolation est "
${prefix:name} ", où
"prefix" est utilisé pour localiser une instance d’exécution de
org.apache.commons.text.lookup.StringLookup l’interpolation. A partir de la version 1.5 et de la continuation 1.9 , l’ensemble des instances de recherche par défaut comprenait des interpolateurs qui pourraient provoquer l’exécution de code arbitraire ou le contact avec des serveurs distants. Ces recherches sont les suivantes :
"script" -exécuter des expressions à l’aide du moteur d’exécution JVM script (Java. script), "DNS"-résoudre les enregistrements DNS, "URL"-charger des valeurs à partir d’URL, y compris à partir de serveurs distants les applications utilisant les valeurs par défaut d’interpolation des versions concernées peuvent être vulnérables à l’exécution de code à distance ou au contact Il est conseillé d’effectuer une mise à niveau vers Apache texte 1.10.0 de la stratégie de service, qui désactive par défaut les interpolateurs problématiques.
Recherches et conclusions
ePO n’utilise pas la bibliothèque de texte Apache. Par conséquent, ePO n’est pas vulnérable à CVE-2022-42889.