Am 13. Oktober 2022 wurde im Apache Common Text (V1.5 bis 1.9) das Security Leak CVE-2022-42889 entdeckt. Apache Commons Text wird zur variable interpolation genutzt und von vielen Produkten eingesetzt. Die Lücke ähnelt ein wenig dem log4j Problem und ermöglicht tiefgreifende Code Injections.

Apache.org hat diese Lücke mit der Version 1.10 - möglicherweise nicht vollständig - geschlossen. Bei RedHat findet man ebenfalls entsprechende Informationen, dass an der Behebung des Problems gearbeitet wird.

Bei Oracle sind zumindest folgende (und vermutlich noch weitere) Produkte betroffen:

• Oracle Healthcare Foundation
• Oracle Enterprise Manager Agent (zumindest Version 3.5)

Die Oracle Datenbank  (ohne OEM Agent) dürfte nicht betroffen sein. Wir konnten kein commons-text*.jar in den ORACLE_HOMEs finden.

Update vom 8. November 2022

Ab Oracle 19.15 ist auch der SQLDeveloper, der seitens Oracle mit der Datenbank ausgeliefert wird, betroffen. Aktuell gibt es für die RUs 19.15, 19.16 und 19.17 sowie für den SQLDeveloper als Einzeldownload noch keine Patches. Man kann den SQLDeveloper nach der Installation der RUs notfalls aus dem ORACLE_HOME löschen. Das kann allerdings zu Problemen beim nächsten Patching führen.

Für den Oracle Enterprise Manager und den Agent 13.5 gibt es seit kurzen den folgenden Patch:

• Patch 34724357: UPDATE TO COMMONS TEXT 1.10