Beschreibung
Die Versionen 1.5 bis 1.9 von Apache Commons Text sind von einer Schwachstelle (CVE-2022-42889 „Text4Shell“) betroffen, welche unter bestimmten Bedingungen einem entfernten Angreifer die Ausführung von beliebigem Code erlaubt. Ein Update von Commons Text auf Version 1.10 behebt die Schwachstelle.
Aktuelle Information dazu seitens der SER Entwicklung (Stand 7.11.2022):
- Die betroffene Klasse "org.apache.commons.text.StringSubstitutor" wird in SER Sourcen für die Doxis Suite nicht verwendet.
-
Eine konkrete Handlungsempfehlung gibt es daher aktuell nicht, da kein signifikantes Risiko für einen Angriffsvektor besteht.
-
Mit der Version 12.1.0 (ab Q1/2023) nutzen die Produkte der Doxis Suite die
Version 1.10.0 von org.apache.commons.commons-text, in welcher die
Schwachstelle behoben ist.
- Im Doxis-Java-API Umfeld kann eine ältere Version von
org.apache.commons.commons-text gegen die Version 1.10.0 ausgetauscht
werden. Die Qualitätssicherung obliegt dabei für alle Eigenentwicklungen dem Kunden. Änderungen sollten vorab entsprechend getestet werden.
Weiterführende Links
Downloads