H2資料庫控制檯發現log4shell型別的嚴重RCE漏洞

JFrog研究人員披露了一個影響H2資料庫控制檯的安全漏洞，該漏洞可能導致遠端程式碼執行，其方式與上個月發現的Log4j“Log4Shell”漏洞類似。

JFrog研究人員稱，該漏洞被跟蹤為CVE-2021-42392，是“自Log4Shell以來在除Log4j之外的元件上釋出的第一個關鍵問題，它利用了 Log4Shell 漏洞的相同根本原因，即 JNDI 遠端類載入。”

H2是用Java編寫的開源關聯式資料庫管理系統，可以嵌入到應用程式中，也可以在客戶端-伺服器模式下執行。根據Maven儲存庫顯示，有6807個工件使用H2資料庫引擎。

JNDI 是 Java Naming and Directory Interface 的縮寫，指的是為Java應用程式提供命名和目錄功能的API, Java應用程式可以將該API與LDAP結合使用，以定位可能需要的特定資源。

在Log4Shell的情況下，此功能支援對網路內部和外部的伺服器進行執行時查詢，反過來，可以將其武器化以允許未經身份驗證的遠端程式碼執行和在伺服器上植入惡意軟體，方法是將惡意JNDI查詢作為任何Java應用程式的輸入，這些Java應用程式使用易受攻擊的Log4j庫版本來記錄它。

研究人員表示，與12月初發現的Log4Shell漏洞相似，攻擊者控制的url傳播到JNDI查詢中，可以允許未經身份驗證的遠端程式碼執行，使攻擊者能夠單獨控制另一個人或組織的系統的操作。

該漏洞影響H2資料庫版本1.1.100至2.0.204，已在2022年1月5日釋出的2.0.206版本中解決。

“H2 資料庫被許多第三方框架使用，包括 Spring Boot、Play Framework 和 JHipster，”Menashe 補充道。“雖然這個漏洞不像 Log4Shell 那樣普遍，但如果不加以解決，它仍然會對開發人員和生產系統產生巨大影響。”

“H2資料庫被許多第三方框架所使用，包括Spring Boot、Play Framework和JHipster，”Menashe補充道。“雖然這個漏洞不像Log4Shell那樣普遍，但如果沒有得到相應的解決，它仍然會對開發人員和生產系統產生巨大的影響。”

美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD)資料顯示，90%以上的網路安全問題是由軟體自身安全漏洞被利用導致的，可以說，不安全的軟體大大提高了網路系統遭到攻擊的風險。

然而，透過安全可信的自動化 靜態程式碼檢測工具能有效減少30-70%的安全漏洞!諸如緩衝區溢位漏洞、注入漏洞及XSS等，更是可以在不執行程式碼的情況下就能檢測出來。此外靜態程式碼檢測有助於開發人員第一時間發現並修正程式碼缺陷，這將為開發人員節省大量時間，同時也能降低企業維護安全問題的成本。

文章來源：