Este documento descreve a nossa posição em relação ao suporte de um produto ou serviço Trellix.
Trellix resposta para a Apache a vulnerabilidade de texto da Commons CVE-2022-42889:
Visão geral
Este documento aborda as preocupações com o ePolicy Orchestrator (ePO) local e com a vulnerabilidade do Apache Commons Text documentada no
CVE-2022-42889.
Descrição
CVE-2022-42889
O Apache Commons Text realiza interpolação variável, permitindo que as propriedades sejam avaliadas e expandidas dinamicamente. O formato padrão para interpolação é "
${prefix:name} ", onde
"prefix" é usado para localizar uma instância do
org.apache.commons.text.lookup.StringLookup que realiza a interpolação. Começando com a versão 1.5 e continuando 1.9 , o conjunto de instâncias de pesquisa padrão incluíam interpoladores que podem resultar em execução arbitrária de código ou em contato com servidores remotos. Estas pesquisas são:
"script" -executar expressões usando o mecanismo de execução de script JVM (javax. script), "DNS"-resolver registros DNS, "URL"-carregar valores de URLs, incluindo de servidores remotos, aplicativos usando os padrões de interpolação das versões afetadas podem ser vulneráveis a execução remota de código ou contato não intencional com servidores remotos se forem usados valores de configuração não confiáveis É recomendável upgrade para Apache o texto 1.10.0 da Commons, que desativa os interpoladores problemáticos por padrão.
Pesquisa e conclusões
o ePO não usa a biblioteca de texto do Apache Commons. Portanto, o ePO não é vulnerável ao CVE-2022-42889.