무엇 Text4Shell 취약점을 알고 계신가요? 다음 항목에 영향을 미치는 심각한 심각도의 보안 취약점입니다. 아파치 커먼즈 텍스트 라이브러리 (CVE-2022-42889) 텍스트4셸을 익스플로잇할 수 있는 취약점이 2022년 10월 13일에 공개되었습니다. 카우치베이스는 이 문제를 인지하자마자 제품 및 보안 팀에서 즉시 조사하고 고객을 보호하기 위한 조치를 취했습니다.
이 Text4Shell 취약점은 애플리케이션이 Apache Commons Text 버전 1.5-1.9를 사용하고 있어야 하며 애플리케이션이 가변 보간이 포함된 StringSubstitutor 클래스를 사용해야 합니다. 또한 공격자가 입력을 제공할 수 있는 메서드가 필요하며, 이 메서드는 Apache Commons Text StringSubstitutor 클래스에 전달됩니다.
아파치 커먼즈 텍스트 라이브러리를 사용하는 두 가지 Couchbase 제품이 있습니다:
-
- Couchbase 분석 서비스를 실행하는 경우, 버전 6.0.0 이상의 Couchbase Server Enterprise Edition.
- 카우치베이스 엘라스틱서치 커넥터.
CouchBase Server와 CouchBase Elasticsearch 커넥터는 모두 Apache Commons Text의 동적 변수 보간 기능을 사용하지 않기 때문에 이 보안 문제에 취약하지 않음을 확인할 수 있습니다.
이 제품에는 CouchBase Analytics 서비스가 포함되어 있지 않으므로 CouchBase Server Community Edition도 이 취약점의 영향을 받지 않습니다.
내부 조사가 진행됨에 따라 필요에 따라 이 게시물에 관련 정보를 추가하여 업데이트할 수 있습니다.
*업데이트됨* - - 카우치베이스 서버, 버전 7.1.3 예방 조치로 아파치 커먼즈 텍스트 라이브러리의 최신 패치 버전이 포함된 버전이 릴리스되었습니다.. 또한 Elasticsearch 커넥터 버전 4.3.9, 4.4.2 이상에는 업데이트된 라이브러리도 있습니다.
궁금한 점이 있으시면 카우치베이스 커뮤니티 포럼. 카우치베이스 엔터프라이즈 고객이고 추가 질문이 있는 경우, 카우치베이스 엔터프라이즈에서 지원 사례.
