¿Qué es el Text4Shell ¿Vulnerabilidad? Una vulnerabilidad de seguridad de gravedad crítica que afecta al Texto Apache Commons biblioteca (CVE-2022-42889) Text4Shell que puede ser explotado y se hizo público el 13 de octubre de 2022. Tan pronto como Couchbase tuvo conocimiento de este problema, lo investigamos inmediatamente en nuestros equipos de producto y seguridad, y tomamos medidas para proteger a nuestros clientes.
Esta vulnerabilidad de Text4Shell requiere que una aplicación utilice Apache Commons Text versión 1.5-1.9 inclusive y que la aplicación utilice la clase StringSubstitutor con interpolación de variables. También requiere un método para que un atacante proporcione la entrada que se pasa a la clase StringSubstitutor de Apache Commons Text.
Hay dos productos Couchbase que utilizan la biblioteca Apache Commons Text:
-
- Couchbase Server Enterprise Edition, cuando se ejecuta el servicio Couchbase Analytics, versiones 6.0.0 y posteriores.
- Conector Couchbase Elasticsearch.
Podemos confirmar que tanto Couchbase Server como Couchbase Elasticsearch Connectors no son vulnerables a este problema de seguridad, ya que no hacen uso de las capacidades de interpolación dinámica de variables de Apache Commons Text.
Couchbase Server Community Edition tampoco se ve afectado por esta vulnerabilidad, ya que este producto no contiene el servicio Couchbase Analytics.
A medida que avance nuestra investigación interna, es posible que actualicemos este post con cualquier información adicional pertinente, según sea necesario.
*Actualizado* - Couchbase Server, versión 7.1.3 que contiene una versión posterior parcheada de la biblioteca Apache Commons Text como medida de precaución.. Además, las versiones 4.3.9, 4.4.2 y posteriores del conector de Elasticsearch también disponen de la biblioteca actualizada.
Si tiene alguna pregunta, visite la página Foros de la comunidad Couchbase. Si usted es un cliente de Couchbase Enterprise y tiene preguntas adicionales, por favor abra un caso de apoyo.
