Communiqué officiel sur la vulnérabilité Text2shell (CVE-2022-42889)

English version

Contexte

Le 18 octobre 2022, October 18, 2022, une vulnérabilité a été signalée pour un des modules Apache utilisés dans OL Connect, par laquelle du code arbitraire pourrait être exécuté ou des serveurs distants contactés. La vulnérabilité existe dans les versions 1.5 à 1.9 du module Apache Commons Text, OL Connect 2022.1 utilisant la version 1.9 de ce module. Les versions plus anciennes d’OL Connect utilisent aussi des versions vulnérables de ce module.

Sévérité

Notre service de R&D a analysé les risques potentiels de cette vulnérabilité. Les résultats démontrent que la vulnérabilité est présente dans la classe  org.apache.commons.text.StringSubstitutor (re: https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/).

OL Connect n’utilise pas cette classe. Seules les classes WordUtils et StringEscapeUtils de ce module sont utilisées, et ces classes elles-mêmes n’utilisent pas la classe vulnérable.

En conséquence, cette vulnérabilité ne peut pas être exploitée dans OL Connect.

Mesures correctives

Afin d’éliminer totalement la vulnérabilité et de prévenir son signalement par des systèmes de surveillance, OL Connect 2022.2 (sortie prévue en novembre 2022) utilisera la version 1.10 du module Apache Commons Text.