Apache Commons Text mit einer konzeptionellen Sicherheitslücke ähnlich #
Log4J.
NVD - CVE-2022-42889Apache Commons Text performs variable interpolation, allowing properties to be dynamically evaluated and expanded. The standard format for interpolation is "${prefix:name}", where "prefix" […]
Das GitHub Security Lab hat die kritische Sicherheitslücke am 09. März gemeldet, die korrigierte Version ist dann nach einem halben Jahr am 12. Oktober erschienen 🤯
https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/@
Kris weist auf Twitter darauf hin, dass die Tragweite dieser Designentscheidung im Softwareentwicklungsprozess anscheinend niemandem aufgefallen ist. Das ist schon irritierend.
https://twitter.com/isotopp/status/1582290524400422912Introduced in Apache Commons Text 1.5, 01-Oct-2018, also genau vor 4 Jahren.
Es hat also 4 Jahre gebraucht, bis jemand mal die Doku gelesen und verstanden hat und 1+1 zusammengezählt hat.
Ein Code-Review mit Impact Analyse vor dem Merge hat offensichtlich nix gebracht.
#
opensource #
security