O que é Text4Shell vulnerabilidade? Uma vulnerabilidade de segurança de gravidade crítica que afeta a Texto do Apache Commons biblioteca (CVE-2022-42889) Text4Shell que pode ser explorado e foi tornado público em 13 de outubro de 2022. Assim que o Couchbase tomou conhecimento desse problema, nós o investigamos imediatamente com nossas equipes de produto e segurança e tomamos medidas para proteger nossos clientes.
Essa vulnerabilidade do Text4Shell exige que um aplicativo esteja usando o Apache Commons Text versão 1.5-1.9 inclusive e que o aplicativo esteja usando a classe StringSubstitutor com interpolação de variáveis. Ela também requer um método para que um invasor forneça entradas que são passadas para a classe StringSubstitutor do Apache Commons Text.
Há dois produtos Couchbase que usam a biblioteca Apache Commons Text:
-
- Couchbase Server Enterprise Edition, ao executar o serviço Couchbase Analytics, versões 6.0.0 e posteriores.
- Conector do Couchbase Elasticsearch.
Podemos confirmar que tanto o Couchbase Server quanto o Couchbase Elasticsearch Connectors não estão vulneráveis a esse problema de segurança, pois não usam os recursos de interpolação dinâmica de variáveis do Apache Commons Text.
O Couchbase Server Community Edition também não é afetado por essa vulnerabilidade, pois esse produto não contém o serviço Couchbase Analytics.
À medida que nossa investigação interna avança, poderemos atualizar esta publicação com informações adicionais relevantes, conforme necessário.
*Atualizado Servidor Couchbase, versão 7.1.3 foi lançado e contém uma versão corrigida mais recente da biblioteca Apache Commons Text como precaução. Além disso, as versões 4.3.9, 4.4.2 e posteriores do conector Elasticsearch também têm a biblioteca atualizada.
Se você tiver alguma dúvida, visite o site Fóruns da comunidade do Couchbase. Se você for um cliente do Couchbase Enterprise e tiver outras dúvidas, abra um caso de suporte.
