Vulnerability in Apache Library Commons Text - Sicherheitslücke in Apache-Library Commons Text (CVE-2022-42889)
Incident Report for plusserver
Resolved
The product squads were unable to identify any other weaknesses. Therefore, we are closing this release.
--
Die Produkt Squads konnten keine weiteren Schwachstellen feststellen. Daher schließen wir diese Mitteilung.
Posted Feb 15, 2023 - 08:36 CET
Update
Regardless of the management level booked, we ask for your cooperation. We do not have access to container images or containers. Also excluded are data folders with any files, for example web servers, via which data for an application can be uploaded via SSH/SFTP.

--

Unabhängig des gebuchten Management Level bitten wir um Ihre Mitarbeit. Wir haben keine Einsicht in Container-Images oder Container. Ausgenommen sind ebenso Datenordner mit etwaigen Dateien, zum Beispiel Webserver, über die Daten für eine Applikation via SSH/SFTP hochgeladen werden können.
Posted Oct 21, 2022 - 20:27 CEST
Investigating
Dear customer, 

We would like to inform you about the known CVE-2022-42889, which describes a vulnerability in the "Apache Library Commons Text".

According to current knowledge, applications that use the StringSubstitutor API of Commons Text without input validation are affected.

Alternatively, if this is the case, an update to 1.10.0 may provide a quick fix. Another recommended solution is to properly validate and sanitize all untrusted input as well.

Please refer to the following sources of information:
https://www.heise.de/news/Kritische-Sicherheitsluecke-in-Apache-Commons-Text-7314381.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42889
https://blogs.apache.org/security/entry/cve-2022-42889

We are currently intensively checking our internal systems as well as any affected products/services and, depending on the management level booked, proactively informing our customers.

We recommend all other customers to check themselves whether the StringSubstitutor API is used in the source code.

--

Sehr geehrter Kunde, 

wir möchten über die bekannt gewordene CVE-2022-42889, welche eine Sicherheitslücke in der „Apache-Library Commons Text“ beschreibt, informieren.

Betroffen sind nach aktuellem Kenntnisstand Applikationen, die die StringSubstitutor API von Commons Text ohne Eingabeprüfung verwenden.

Wenn dies der Fall ist, kann alternativ ein Update auf 1.10.0 eine schnelle Abhilfe schaffen. Eine weitere empfohlene Lösung besteht darin, auch alle nicht vertrauenswürdigen Eingaben ordnungsgemäß zu validieren und zu bereinigen.

Beachten Sie bitte hierzu folgende Informationsquellen:
https://www.heise.de/news/Kritische-Sicherheitsluecke-in-Apache-Commons-Text-7314381.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42889
https://blogs.apache.org/security/entry/cve-2022-42889

Wir prüfen aktuell intensiv unsere internen Systeme sowie gegebenenfalls betroffenen Produkte/Services und informieren je nach gebuchtem Management Level proaktiv unsere Kunden.

Allen anderen Kunden empfehlen wir selber zu prüfen, ob die StringSubstitutor API im Quellcode verwendet wird.
Posted Oct 21, 2022 - 14:07 CEST
This incident affected: Services (plusserver support).