Questo documento descrive la nostra posizione relativamente al supporto di un prodotto o servizio Trellix.
Trellix risposta alla vulnerabilità del testo Apache Commons CVE-2022-42889:
Panoramica
Questo documento riguarda i problemi relativi a on-Prem ePolicy Orchestrator (ePO) e la vulnerabilità del testo Apache Commons documentata in
CVE-2022-42889.
Descrizione
CVE-2022-42889
Apache testo Commons esegue l'interpolazione variabile e consente di valutare e ampliare le proprietà in modo dinamico. Il formato standard per l'interpolazione è "
${prefix:name} ", dove
"prefix" viene utilizzato per individuare un'istanza di
org.apache.commons.text.lookup.StringLookup che esegue l'interpolazione. A partire dalla versione 1.5 e continuando 1.9 , il set di istanze di ricerca predefinite includeva gli interpolatori che potevano causare l'esecuzione arbitraria di codice o il contatto con i server remoti. Queste ricerche sono:
"script" -eseguire espressioni utilizzando il motore di esecuzione JVM script (javax. script), "DNS"-risolvere i record DNS, "URL"-caricare i valori dagli URL, anche dalle applicazioni dei server remoti che utilizzano le impostazioni predefinite di interpolazione nelle versioni interessate potrebbero essere vulnerabili all'esecuzione di codice remoto o a contatto non intenzionale con i server remoti. Si consiglia di effettuare l'upgrade a Apache testo 1.10.0 Commons, che disattiva per impostazione predefinita gli interpolatori problematici.
Ricerca e conclusioni
ePO non utilizza la libreria di testi Apache Commons. Pertanto, ePO non è vulnerabile a CVE-2022-42889.