H2資料庫控制檯發現log4shell型別的嚴重RCE漏洞
JFrog研究人員披露了一個影響H2資料庫控制檯的安全漏洞,該漏洞可能導致遠端程式碼執行,其方式與上個月發現的Log4j“Log4Shell”漏洞類似。
JFrog研究人員稱,該漏洞被跟蹤為CVE-2021-42392,是“自Log4Shell以來在除Log4j之外的元件上釋出的第一個關鍵問題,它利用了 Log4Shell 漏洞的相同根本原因,即 JNDI 遠端類載入。”
H2是用Java編寫的開源關聯式資料庫管理系統,可以嵌入到應用程式中,也可以在客戶端-伺服器模式下執行。根據Maven儲存庫顯示,有6807個工件使用H2資料庫引擎。
JNDI 是 Java Naming and Directory Interface 的縮寫,指的是為Java應用程式提供命名和目錄功能的API, Java應用程式可以將該API與LDAP結合使用,以定位可能需要的特定資源。
在Log4Shell的情況下,此功能支援對網路內部和外部的伺服器進行執行時查詢,反過來,可以將其武器化以允許未經身份驗證的遠端程式碼執行和在伺服器上植入惡意軟體,方法是將惡意JNDI查詢作為任何Java應用程式的輸入,這些Java應用程式使用易受攻擊的Log4j庫版本來記錄它。
研究人員表示,與12月初發現的Log4Shell漏洞相似,攻擊者控制的url傳播到JNDI查詢中,可以允許未經身份驗證的遠端程式碼執行,使攻擊者能夠單獨控制另一個人或組織的系統的操作。
該漏洞影響H2資料庫版本1.1.100至2.0.204,已在2022年1月5日釋出的2.0.206版本中解決。
“H2 資料庫被許多第三方框架使用,包括 Spring Boot、Play Framework 和 JHipster,”Menashe 補充道。“雖然這個漏洞不像 Log4Shell 那樣普遍,但如果不加以解決,它仍然會對開發人員和生產系統產生巨大影響。”
“H2資料庫被許多第三方框架所使用,包括Spring Boot、Play Framework和JHipster,”Menashe補充道。“雖然這個漏洞不像Log4Shell那樣普遍,但如果沒有得到相應的解決,它仍然會對開發人員和生產系統產生巨大的影響。”
美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD)資料顯示,90%以上的網路安全問題是由軟體自身安全漏洞被利用導致的,可以說,不安全的軟體大大提高了網路系統遭到攻擊的風險。
然而,通過安全可信的自動化 靜態程式碼檢測工具能有效減少30-70%的安全漏洞!諸如緩衝區溢位漏洞、注入漏洞及XSS等,更是可以在不執行程式碼的情況下就能檢測出來。此外靜態程式碼檢測有助於開發人員第一時間發現並修正程式碼缺陷,這將為開發人員節省大量時間,同時也能降低企業維護安全問題的成本。
文章來源:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2851625/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Java的Fastjson庫爆高嚴重性RCE漏洞JavaASTJSON
- 思科IP電話存嚴重RCE漏洞!
- 在Apache Cassandra資料庫軟體中報告高嚴重性RCE安全漏洞Apache資料庫
- 谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補谷歌微軟資料庫
- H2資料庫文件索引資料庫索引
- Confluence 6 嵌入的 H2 資料庫資料庫
- 為資料集而生的 SQL 控制檯SQL
- H2 資料庫避坑指南資料庫
- LLM-kimi:H2資料庫資料庫
- 關係型資料庫和非關係型資料庫的區別資料庫
- Kubernetes首個嚴重安全漏洞發現者,談發現過程及原理機制
- 【資料庫】併發控制資料庫
- 資料庫text型別的長度?資料庫型別
- 資料庫型別區分資料庫型別
- H2嵌入式資料庫使用資料庫
- H2 資料庫介紹(2)--使用資料庫
- Chrome 使用者請儘快更新:谷歌發現兩個嚴重的零日漏洞Chrome谷歌
- Spring Boot 2中actuator和H2資料庫別名暴露遠端執行程式碼漏洞 — spaceraccoon.devSpring Boot資料庫行程dev
- 資料庫安全-ElasticSearch漏洞復現資料庫Elasticsearch
- Redis 基礎資料型別重溫Redis資料型別
- Redis 高階資料型別重溫Redis資料型別
- 重溫手冊(一):資料型別資料型別
- MySQL 資料庫的對庫的操作及其資料型別悔鋒MySql資料庫資料型別
- CISA警告3個工業控制系統軟體中存在嚴重漏洞
- 資料庫系列:InnoDB下實現高併發控制資料庫
- 如何確定一個嚴重規範化的資料庫系統?資料庫
- 用友-NC-Cloud存在控制檯繞過漏洞Cloud
- Java資料型別與資料庫欄位型別對應關係Java資料型別資料庫
- H2 資料庫介紹(1)--簡介資料庫
- Spring Cloud Function現RCE 0-day漏洞SpringCloudFunction
- 技術分享 | Fastjson-RCE漏洞復現ASTJSON
- 計算機史上最嚴重漏洞被公開,風險等級嚴重計算機
- ClickHouse OLAP大資料資料庫系統發現多個安全漏洞大資料資料庫
- 谷歌稱macOS核心存在“嚴重”漏洞谷歌Mac
- 本月補丁星期二活動已修復卡巴斯基發現的嚴重零日漏洞
- 如何啟動一個 server 模式的 h2 資料庫Server模式資料庫
- MYSQL資料庫型別與JAVA型別對應關係MySql資料庫型別Java
- PHP弱型別引發的漏洞例項PHP型別