En este documento se describe nuestra posición relativa al soporte de un producto o servicio de Trellix.
Trellix Response a Apache Commons vulnerabilidad CVE-2022-42889:
Descripción general
Este documento aborda las preocupaciones sobre ePolicy Orchestrator (ePO) local y la vulnerabilidad de Apache Commons Text documentada en
CVE-2022-42889.
Descripción
CVE-2022-42889
Apache el texto de Commons realiza interpolación variable, lo que permite que las propiedades se evalúen y se expandan dinámicamente. El formato estándar para la interpolación es "
${prefix:name} ", dónde
"prefix" se utiliza para localizar una instancia de
org.apache.commons.text.lookup.StringLookup que realice la interpolación. A partir de la versión 1.5 y continuando 1.9 , el conjunto de instancias de búsqueda predeterminadas incluía los interpoladores que podrían dar lugar a la ejecución de código arbitrario o al contacto con servidores remotos. Estas búsquedas son:
"script" -Ejecutar expresiones que utilicen el motor de ejecución script de JVM (javax. Script), "DNS"-resolver registros DNS, "URL"-cargar valores de direcciones URL, incluidas las aplicaciones de servidores remotos con los valores predeterminados de interpolación en las versiones afectadas, podrían ser vulnerables a la ejecución remota de código o a un contacto involuntario con servidores remotos Se recomienda ampliar a Apache el texto 1.10.0 de Commons, que desactiva los interpoladores problemáticos de forma predeterminada.
Investigación y conclusiones
ePO no utiliza la biblioteca de texto de Apache Commons. Por lo tanto, ePO no es vulnerable a CVE-2022-42889.