发布编号：TACERT-ANA-2022102701100303

发布时间：2022-10-27 13:13:05

事故类型：ANA-漏洞预警

发现时间：2022-10-27 11:54:05

影响等级：中

 

[主旨说明:]

【漏洞预警】Apache Commons Text存在Text4Shell安全漏洞(CVE-2022-42889)，允许攻击者远端执行任意程式码，请尽速确认并进行更新

 

[内容说明:]

 

转发 国家资安资讯分享与分析中心 NISAC-ANA-202210-1078

研究人员发现Apache Commons Text存在Text4Shell安全漏洞(CVE-2022-42889)，使用默认Lookup instance组态时，攻击者可输入特制之恶意内容触发漏洞进而远端执行任意程式码。

 

[影响平台:]

Apache Commons Text 1.5至1.9(含)版本

 

[建议措施:]

目前Apache官方已针对此漏洞释出更新程式(https://commons.apache.org/proper/commons-text/download_text.cgi )，请各机关尽速进行版本确认并更新至Apache Commons Text 1.10.0(含)以上版本。

 

[参考资料:]

1. https://nvd.nist.gov/vuln/detail/CVE-2022-42889

2. https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om

3. https://www.openwall.com/lists/oss-security/2022/10/13/4

4. Hackers Started Exploiting Critical "Text4Shell" Apache Commons Text Vulnerability

5. https://zh-tw.tenable.com/plugins/nessus/166250

6. Apache Commons Text 程式库遭发现内含可远端执行任意程式码的漏洞

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw