Skip to content

NIEUWE SECURITY KWETSBAARHEID ONTDEKT IN APACHE COMMONS TEXT (CVE-2022-42889)

UPDATE 1 NOVEMBER 2022

Wij attenderen u erop dat er een ernstige kwetsbaarheid is ontdekt in Apache Commons Text. Zie onder andere:

www.digitaltrustcenter.nl/nieuws/kwetsbaarheid-in-apache-commons-text/

Apparo Solutions heeft inmiddels een fix uitgebracht op basis van Apache Commons Text 1.10.0. Wij adviseren u om deze fix zo spoedig mogelijk te (laten) installeren. Indien u dit door ons wilt laten uitvoeren, kunt u contact opnemen door een mail te sturen aan info@impact-im.nl. Indien u de installatie zelf wilt uitvoeren, kunt u dat aangeven via een mail aan hetzelfde mailadres. Wij kunnen de software dan voor u klaarzetten op de bekende downloadsite. Dit geldt uiteraard alleen voor organisaties die een licentie op Apparo hebben afgenomen.

IBM heeft ons afgelopen weekend laten weten dat ’the assessment of CVE-2022-42889 is completed and after review of the code they have detemined that Cognos Analytics is not vulnerable.’ Wij hebben daarna een aantal aanvullende vragen gesteld ter verdere verificatie, ook over de client tools. IBM heeft ons inmiddels bericht dat de LTS versie waar onze klanten mee werken (11.1.7) – inclusief de client tools – niet kwetsbaar is. Wij krijgen de afgelopen dagen veel vragen van klanten over fix pack 6 op 11.1.7. Voor alle duidelijkheid: ons advies is om deze te (laten) installeren. Indien u dat wilt kunt u een mail sturen aan info@impact-im.nl.

Wat betreft Pentaho Community Edition: wij hebben begrepen uit de berichtgeving dat Pentaho gebruik maakt van versie 1.4 van het Apache Commons Text bestand. Wij hebben zelf geconstateerd dat de meest recente versie van Pentaho (9.3.0.0.-428) inderdaad de 1.4 versie gebruikt. Het lijkt ons onaannemelijk dat eerdere versies van Pentaho een latere versie gebruiken van het Apache Commons Text bestand.

Volgens diverse bronnen is versie 1.4 van het Apache Commons Text bestand niet kwetsbaar; pas vanaf versie 1.5 is er functionaliteit toegevoegd aan dit bestand waarbij er een kwetsbaarheid is ontstaan.

Zie onder andere:

https://mvnrepository.com/artifact/org.apache.commons/commons-text

https://security.snyk.io/package/maven/org.apache.commons:commons-text

Tangelo Software heeft ons vandaag bericht dat men de impact van de kwetsbaarheid op hun software onderzocht heeft en geconcludeerd heeft dat:
  • de Tangelo software de library bevat in de versie met de kwetsbaarheid;
  • de applicatie de lookup interpolators waar de kwetsbaarheid in zit NIET gebruikt, dus er kan geen misbruik van gemaakt worden;
  • in de volgende versie van Tangelo zal de library worden bijgewerkt naar de laatste versie.

Regelmatig brengen wij u op onze website op de hoogte van de nieuwe security updates. Wij bieden u nu de mogelijkheid om ook via de mail geattendeerd te worden op deze berichten. Indien u interesse hebt om op deze wijze geïnformeerd te worden, kan u zich hiervoor via bijgaande link aanmelden.