H2數(shù)據(jù)庫控制臺發(fā)現(xiàn)log4shell類型的嚴重RCE漏洞

JFrog研究人員披露了一個影響H2數(shù)據(jù)庫控制臺的安全漏洞，該漏洞可能導致遠程代碼執(zhí)行，其方式與上個月發(fā)現(xiàn)的Log4j“Log4Shell”漏洞類似。

JFrog研究人員稱，該漏洞被跟蹤為CVE-2021-42392，是“自Log4Shell以來在除Log4j之外的組件上發(fā)布的第一個關(guān)鍵問題，它利用了 Log4Shell 漏洞的相同根本原因，即 JNDI 遠程類加載?！?/p>

H2是用Java編寫的開源關(guān)系數(shù)據(jù)庫管理系統(tǒng)，可以嵌入到應用程序中，也可以在客戶端-服務器模式下運行。根據(jù)Maven存儲庫顯示，有6807個工件使用H2數(shù)據(jù)庫引擎。

JNDI 是 Java Naming and Directory Interface 的縮寫，指的是為Java應用程序提供命名和目錄功能的API, Java應用程序可以將該API與LDAP結(jié)合使用，以定位可能需要的特定資源。

在Log4Shell的情況下，此功能支持對網(wǎng)絡(luò)內(nèi)部和外部的服務器進行運行時查找，反過來，可以將其武器化以允許未經(jīng)身份驗證的遠程代碼執(zhí)行和在服務器上植入惡意軟件，方法是將惡意JNDI查找作為任何Java應用程序的輸入，這些Java應用程序使用易受攻擊的Log4j庫版本來記錄它。

研究人員表示，與12月初發(fā)現(xiàn)的Log4Shell漏洞相似，攻擊者控制的url傳播到JNDI查找中，可以允許未經(jīng)身份驗證的遠程代碼執(zhí)行，使攻擊者能夠單獨控制另一個人或組織的系統(tǒng)的操作。

該漏洞影響H2數(shù)據(jù)庫版本1.1.100至2.0.204，已在2022年1月5日發(fā)布的2.0.206版本中解決。

“H2 數(shù)據(jù)庫被許多第三方框架使用，包括 Spring Boot、Play Framework 和 JHipster，”Menashe 補充道?！半m然這個漏洞不像 Log4Shell 那樣普遍，但如果不加以解決，它仍然會對開發(fā)人員和生產(chǎn)系統(tǒng)產(chǎn)生巨大影響。”

“H2數(shù)據(jù)庫被許多第三方框架所使用，包括Spring Boot、Play Framework和JHipster，”Menashe補充道。“雖然這個漏洞不像Log4Shell那樣普遍，但如果沒有得到相應的解決，它仍然會對開發(fā)人員和生產(chǎn)系統(tǒng)產(chǎn)生巨大的影響。”

美國國家標準與技術(shù)局(NIST)、國家漏洞數(shù)據(jù)庫(NVD)數(shù)據(jù)顯示，90%以上的網(wǎng)絡(luò)安全問題是由軟件自身安全漏洞被利用導致的，可以說，不安全的軟件大大提高了網(wǎng)絡(luò)系統(tǒng)遭到攻擊的風險。

然而，通過安全可信的自動化靜態(tài)代碼檢測工具能有效減少30-70%的安全漏洞!諸如緩沖區(qū)溢出漏洞、注入漏洞及XSS等，更是可以在不運行代碼的情況下就能檢測出來。此外靜態(tài)代碼檢測有助于開發(fā)人員第一時間發(fā)現(xiàn)并修正代碼缺陷，這將為開發(fā)人員節(jié)省大量時間，同時也能降低企業(yè)維護安全問題的成本。

文章來源：

https://thehackernews.com/2022/01/log4shell-like-critical-rce-flaw.html