本文档介绍了与 Trellix 产品或服务的支持相关的位置。
Trellix 响应 Apache Commons 文本漏洞 CVE-2022-42889:
概述
本文档介绍了有关在
CVE-2022-42889中记录的部署 ePolicy Orchestrator (ePO)和 Apache Commons 文本漏洞的问题。
说明
CVE-2022-42889
Apache Commons 文本执行变量内插,从而允许动态评估和扩展属性。内插的标准格式为 "
${prefix:name} ",
"prefix" 用于查找执行内插的实例
org.apache.commons.text.lookup.StringLookup 。从版本 1.5 开始,然后继续执行 1.9 ,默认查找实例集包括 interpolators,这些实例可能会导致任意代码执行或与远程服务器进行联系。这些查找包括:
"script" -使用 JVM 脚本执行引擎(javax)执行表达式,"DNS" 解析 dns 记录,"url" 从 url 加载值,包括使用受影响版本中的内插缺省值的远程服务器应用程序,如果使用不受信任的配置值,则可能容易受到远程代码执行或与远程服务器的意外联系。建议升级到 Apache Commons 文本 1.10.0 ,这会在默认情况下禁用有问题的 interpolators。
研究和结论
ePO 不使用 Apache Commons 文本库。因此,ePO 不容易受到 CVE-2022-42889 的攻击。