返回

注意!与Log4Shell相似的Java漏洞出现了

发布时间:2022-01-17 11:45:45 157

安全研究人员警告称,一个最新的严重的Java错误,其本质与目前在全球范围内利用的臭名昭著的Log4Shell漏洞相同。

CVE-2021-42392漏洞

CVE-2021-42392尚未在国家漏洞数据库(NVD)中正式发布,但据软件企业内JFrog称,它影响了流行的H2 Java SQL数据库的控制台。

这家安全公司提醒,任何目前运行的暴露于其LAN或WAN的H2控制台的组织立即将数据库更新到2.0.206版本,否则攻击者可能会利用它进行未经身份验证的远程代码执行(RCE)。

与Log4Shell一样,该错误与JNDI(Java命名和目录接口)“远程类加载”有关。JNDI是一种为Java应用程序提供命名和目录功能的API。这意味着如果攻击者可以将恶意URL获取到JNDI查找中,它就可以启用RCE。

“简而言之,根本原因类似于Log4Shell——H2数据库框架中的多个代码路径将未经过滤的攻击者控制的URL传递给javax.naming.Context.lookup函数,该函数允许远程代码库加载(AKA Java代码注入AKA远程代码执行),”JFrog解释道。

“具体来说,org.h2.util.JdbcUtils.getConnection方法以驱动类名和数据库URL作为参数。如果驱动程序的类可分配给javax.naming.Context类,则该方法会从中实例化一个对象并调用其查找方法。”

提供诸如“javax.naming.InitialContext”之类的驱动程序类和像ldap://attacker.com/Exploit这样简单的URL将导致远程代码执行。

JFrog表示该漏洞特别危险

JFrog表示,该漏洞特别危险,因为H2数据库包特别受欢迎。该公司声称,它是前50个最受欢迎的Maven软件包之一,拥有近7000个工件依赖项。

但是,有一些原因导致利用不会像Log4Shell那样广泛。一方面,它具有“直接影响范围”,这意味着易受攻击的服务器应该更容易找到。其次,在大多数H2发行版中,控制台只监听localhost连接,这意味着默认设置是不可利用的。

“许多供应商可能正在运行H2数据库,但没有运行H2控制台,虽然除了控制台之外还有其他向量可以利用这个问题,但这些其他向量是依赖于上下文的,不太可能暴露给远程攻击者。”JFrog补充道。

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线
下一篇
5个信息警告您的身份已被盗 2022-01-17 11:04:29