H2數(shù)據(jù)庫(kù)控制臺(tái)發(fā)現(xiàn)log4shell類型的嚴(yán)重RCE漏洞

JFrog研究人員披露了一個(gè)影響H2數(shù)據(jù)庫(kù)控制臺(tái)的安全漏洞，該漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行，其方式與上個(gè)月發(fā)現(xiàn)的Log4j“Log4Shell”漏洞類似。

JFrog研究人員稱，該漏洞被跟蹤為CVE-2021-42392，是“自Log4Shell以來在除Log4j之外的組件上發(fā)布的第一個(gè)關(guān)鍵問題，它利用了 Log4Shell 漏洞的相同根本原因，即 JNDI 遠(yuǎn)程類加載?！?/p>

H2是用Java編寫的開源關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)，可以嵌入到應(yīng)用程序中，也可以在客戶端-服務(wù)器模式下運(yùn)行。根據(jù)Maven存儲(chǔ)庫(kù)顯示，有6807個(gè)工件使用H2數(shù)據(jù)庫(kù)引擎。

JNDI 是 Java Naming and Directory Interface 的縮寫，指的是為Java應(yīng)用程序提供命名和目錄功能的API, Java應(yīng)用程序可以將該API與LDAP結(jié)合使用，以定位可能需要的特定資源。

在Log4Shell的情況下，此功能支持對(duì)網(wǎng)絡(luò)內(nèi)部和外部的服務(wù)器進(jìn)行運(yùn)行時(shí)查找，反過來，可以將其武器化以允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行和在服務(wù)器上植入惡意軟件，方法是將惡意JNDI查找作為任何Java應(yīng)用程序的輸入，這些Java應(yīng)用程序使用易受攻擊的Log4j庫(kù)版本來記錄它。

研究人員表示，與12月初發(fā)現(xiàn)的Log4Shell漏洞相似，攻擊者控制的url傳播到JNDI查找中，可以允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行，使攻擊者能夠單獨(dú)控制另一個(gè)人或組織的系統(tǒng)的操作。

該漏洞影響H2數(shù)據(jù)庫(kù)版本1.1.100至2.0.204，已在2022年1月5日發(fā)布的2.0.206版本中解決。

“H2 數(shù)據(jù)庫(kù)被許多第三方框架使用，包括 Spring Boot、Play Framework 和 JHipster，”Menashe 補(bǔ)充道?！半m然這個(gè)漏洞不像 Log4Shell 那樣普遍，但如果不加以解決，它仍然會(huì)對(duì)開發(fā)人員和生產(chǎn)系統(tǒng)產(chǎn)生巨大影響?！?/p>

“H2數(shù)據(jù)庫(kù)被許多第三方框架所使用，包括Spring Boot、Play Framework和JHipster，”Menashe補(bǔ)充道。“雖然這個(gè)漏洞不像Log4Shell那樣普遍，但如果沒有得到相應(yīng)的解決，它仍然會(huì)對(duì)開發(fā)人員和生產(chǎn)系統(tǒng)產(chǎn)生巨大的影響?！?/p>

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)、國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)數(shù)據(jù)顯示，90%以上的網(wǎng)絡(luò)安全問題是由軟件自身安全漏洞被利用導(dǎo)致的，可以說，不安全的軟件大大提高了網(wǎng)絡(luò)系統(tǒng)遭到攻擊的風(fēng)險(xiǎn)。

然而，通過安全可信的自動(dòng)化靜態(tài)代碼檢測(cè)工具能有效減少30-70%的安全漏洞!諸如緩沖區(qū)溢出漏洞、注入漏洞及XSS等，更是可以在不運(yùn)行代碼的情況下就能檢測(cè)出來。此外靜態(tài)代碼檢測(cè)有助于開發(fā)人員第一時(shí)間發(fā)現(xiàn)并修正代碼缺陷，這將為開發(fā)人員節(jié)省大量時(shí)間，同時(shí)也能降低企業(yè)維護(hù)安全問題的成本。

文章來源：

https://thehackernews.com/2022/01/log4shell-like-critical-rce-flaw.html