Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Araştırmacılar, Apache Commons Metnindeki Kritik Yeni Güvenlik Açığı Konusunda Dikkatli Bir Gözde
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Araştırmacılar, Apache Commons Metnindeki Kritik Yeni Güvenlik Açığı Konusunda Dikkatli Bir Gözde

GenelSiber Güvenlik

Araştırmacılar, Apache Commons Metnindeki Kritik Yeni Güvenlik Açığı Konusunda Dikkatli Bir Gözde

teknomers
Son güncelleme: 18 Ekim 2022 15:51
teknomers
Paylaş
Paylaş



Contents
  • Güncellenmiş Sürüm Mevcut
  • Kavram Kanıtı Endişeleri Arttırıyor

Araştırmacılar, Apache Commons Text’de, kimliği doğrulanmamış saldırganlara, etkilenen bileşenle uygulamaları çalıştıran sunucularda uzaktan kod yürütmek için bir yol sağlayan, kritik, yeni açıklanan bir güvenlik açığını yakından takip ediyor.

kusur (CVE-2022-42889), CVSS ölçeğinde olası 10.0 üzerinden 9.8’lik bir önem derecesine atanmıştır ve Apache Commons Metninin 1.5 ila 1.9 sürümlerinde mevcuttur. Güvenlik açığı için kavram kanıtı kodu zaten mevcut, ancak şu ana kadar herhangi bir istismar etkinliği belirtisi yok.

Güncellenmiş Sürüm Mevcut

Apache Yazılım Vakfı (ASF) güncellenmiş bir sürüm yayınladı 24 Eylül’de yazılımın (Apache Commons Text 1.10.0) kusur hakkında tavsiye sadece geçen perşembe. İçinde Vakıf, açığı, Apache Commons Text’in temelde arama ve arama süreci olan değişken enterpolasyon gerçekleştirdiğinde güvensiz varsayılanlardan kaynaklandığını açıkladı koddaki dize değerlerini değerlendirme yer tutucular içeren “Sürüm 1.5 ile başlayan ve 1.9 ile devam eden, varsayılan Arama örnekleri kümesi, rastgele kod yürütülmesine veya uzak sunucularla temasa neden olabilecek enterpolatörleri içeriyordu” dedi.

Bu arada NIST, kullanıcıları Apache Commons Text 1.10.0’a yükseltmeye çağırdı ve şunları söyledi: “sorunlu enterpolatörleri devre dışı bırakır varsayılan olarak.”

ASF Apache, Commons Metin kitaplığını standart Java Geliştirme Kiti’nin (JDK) metin işlemesine eklemeler sağlamak olarak tanımlar. Bazı 2.588 proje Maven Central Java deposundaki verilere göre Apache Hadoop Common, Spark Project Core, Apache Velocity ve Apache Commons Configuration gibi bazı önemli olanlar da dahil olmak üzere şu anda kitaplığı kullanıyor.

Bugün bir danışma belgesinde GitHub Security Lab, kalem test cihazlarından biri hatayı keşfetti ve Mart ayında ASF’deki güvenlik ekibine bildirdi.

Şimdiye kadar hatayı izleyen araştırmacılar, potansiyel etkisini değerlendirirken temkinli davrandılar. Tanınmış güvenlik araştırmacısı Kevin Beaumont Pazartesi günü bir tweet’te, güvenlik açığının potansiyel bir Log4shell durumuna neden olup olmayacağını merak etti ve geçen yılın sonundaki kötü şöhretli Log4j güvenlik açığına atıfta bulundu.

“Apache Commons Metni kod yürütülmesine izin veren işlevleri desteklerpotansiyel olarak kullanıcı tarafından sağlanan metin dizelerinde,” dedi Beaumont. Ancak bundan yararlanmak için, bir saldırganın bu işlevi kullanarak kullanıcı girdisini de kabul eden Web uygulamalarını bulması gerekir, dedi. “Henüz MSPaint’i açmayacağım, kimse webapps bulamazsa bu işlevi kullanan ve kullanıcı tarafından sağlanan girdinin ona ulaşmasına izin verenler” diye tweet attı.

Kavram Kanıtı Endişeleri Arttırıyor

Tehdit istihbarat firması GreyNoise’den araştırmacılar, Dark Reading’e şirketin CVE-2022-42889 için PoC’nin kullanıma sunulacağının farkında olduğunu söyledi. Onlara göre, yeni güvenlik açığı Temmuz 2022’de duyurulan ve Commons Metninde değişken enterpolasyonla ilişkilendirilen bir ASF ile neredeyse aynı. Bu güvenlik açığı (CVE-2022-33980) Apache Commons Configuration’da bulundu ve yeni kusurla aynı önem derecesine sahipti.

GreyNoise araştırmacıları, “CVE-2022-42889 için kasıtlı olarak savunmasız ve kontrollü bir ortamda güvenlik açığını tetikleyebilecek Kavram Kanıtı kodunun farkındayız” diyor. “Apache Commons Metin kitaplığını, saldırganların kullanıcı tarafından kontrol edilen verilerle güvenlik açığından yararlanmasına olanak tanıyan güvenlik açığı bulunan bir yapılandırmada kullanan, yaygın olarak dağıtılan gerçek dünya uygulamalarının hiçbir örneğinin farkında değiliz.”

GreyNoise, “uygulamada kanıt” istismar faaliyetinin herhangi bir kanıtını izlemeye devam ediyor, diye eklediler.

Jfrog Security, hatayı izlediğini söyledi ve şimdiye kadar, etkinin muhtemel olduğu görülüyor. Log4j’den daha az yaygın olacak. JFrog bir tweet’te “Apache Commons Metnindeki yeni CVE-2022-42889 tehlikeli görünüyor” dedi. “Yalnızca saldırgan tarafından kontrol edilen dizeleri-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup()’a geçiren uygulamaları etkiliyor gibi görünüyor” dedi.

Güvenlik satıcısı, Java sürüm 15 ve sonraki sürümleri kullanan kişilerin, komut dosyası enterpolasyonu çalışmadığından kod yürütülmesine karşı güvende olmaları gerektiğini söyledi. Ancak, kusurdan yararlanmak için diğer potansiyel vektörlerin – DNS ve URL aracılığıyla – yine de işe yarayacağını belirtti.





siber-1

Astrofizikçiler Kozmik Şafaktaki “İmkansız” Parlaklığı Açıklıyor
D&D Canavar Kılavuzu, on yıldan fazla bir süredir ilk yeni baskısını aldı
Dark Horse’dan Assassin’s Creed Shadows Sanat Kitabı Oyunla Birlikte Yayımlanacak
En güçlü gömülü AMD işlemciler. Ryzen Gömülü 5000 Henüz Gösterilmemiş, Ama Halihazırda Mevcut
Valve Yeni York Loot Box Davasına Yanıtını Verdi: Kararlıyız
ETİKETLENDİ:AçığıApacheAraştırmacılarBirCommonsdikkatliGözdegüvenlikkonusundaKritikMetnindekiYeni
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Çin ‘Spyder Loader’ Kötü Amaçlı Yazılımı Hong Kong’daki Kuruluşları Hedef Aldı
Sonraki Makale Yeni M2 iPad Pro’nun bugün piyasaya çıkması bekleniyor

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

CISA’dan Kritik Uyarı: Paylaşılan SharePoint Açıklarını Hızla Düzeltin!
Siber Güvenlik
Acil: Kullanıcıları Hedef Alan AsyncAPI npm Paketleri Tehlikede!
Siber Güvenlik
Gelecek Nesil Konsol Gecikmesi Witcher 3 İçin Avantaj Olabilir
Oyun
Ukrayna, 12 saatlik uçuşla 2,500 km’lik rekor drone saldırısı düzenledi
Donanım
OpenAI Çalışanları, Patronlarına Karşı Rakip Süper PAC Finanse Ediyor!
Genel
Kritik Uyarı: Bazı Dell PC’ler Windows Güncellemeleriyle Kapanıyor!
Siber Güvenlik
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?