Исслeдoватели прeдупрeждaют о нoвoй уязвимoсти Jаvа, пoхoжeй нa Log4Shell » Каталог статей.

Исслeдoватели прeдупрeждaют о нoвoй уязвимoсти Jаvа, пoхoжeй нa Log4Shell

Статьи / Безопасность

Исслeдoватели прeдупрeждaют о нoвoй уязвимoсти Jаvа, пoхoжeй нa Log4Shell


Публикуйте объявления, заметки и многое другое. Доска объявлений Купи Продай отличный способ держать вашу занятую команду в нужном русле.

Исследователи безопасности предупреждают о новой критической ошибке Java с той же основной причиной, что и печально известная уязвимость Log4Shell, которая в настоящее время эксплуатируется по всему миру.

CVE-2021-42392 еще официально не опубликована в Национальной базе данных уязвимостей (NVD), но, по словам JFrog, она влияет на консоль популярной базы данных H2 Java SQL.

Фирма по безопасности призвала любую организацию, которая в настоящее время использует консоль H2, доступную к их локальной или глобальной сети, немедленно обновить базу данных до версии 2.0.206, иначе злоумышленники могут использовать ее для удаленного выполнения кода без проверки подлинности (RCE).

Как и в Log4Shell, ошибка связана с JNDI (Java Naming and Directory Interface) «удаленная загрузка классов». JNDI — это API, который предоставляет функции именования и каталогов для приложений Java. Это означает, что если злоумышленник сможет получить вредоносный URL-адрес для поиска JNDI, он может включить RCE.

«Короче говоря, основная причина аналогична Log4Shell — несколько путей кода в структуре базы данных H2 передают нефильтрованные URL-адреса, контролируемые злоумышленниками, в функцию javax.naming.Context.lookup, которая позволяет удаленно загружать кодовую базу (также известная как внедрение кода Java, известная как инъекция кода Java). удаленное выполнение кода)», — объяснил JFrog.

«В частности, метод org.h2.util.JdbcUtils.getConnection принимает в качестве параметров имя класса драйвера и URL-адрес базы данных. Если класс драйвера присваивается классу javax.naming.Context, метод создает экземпляр объекта из него и вызывает его метод поиска».

Он добавил, что предоставление класса драйвера, такого как «javax.naming.InitialContext», и простого URL-адреса, такого как ldap://attacker.com/Exploit, приведет к удаленному выполнению кода.

JFrog заявил, что уязвимость особенно опасна, поскольку пакет базы данных H2 особенно популярен. По заявлению фирмы, это один из 50 самых популярных пакетов Maven с почти 7000 зависимостями артефактов.

Однако есть несколько причин, по которым эксплуатация не будет столь распространена, как Log4Shell. Во-первых, он имеет «прямой масштаб воздействия», что означает, что уязвимые серверы должно быть легче найти.

Во-вторых, в большинстве дистрибутивов H2 консоль прослушивает только соединения с локальным хостом, что означает, что настройка по умолчанию не может быть использована.

«Многие поставщики могут использовать базу данных H2, но не использовать консоль H2», — добавил JFrog. «Хотя есть и другие способы использования этой проблемы помимо консоли, эти другие векторы зависят от контекста и с меньшей вероятностью могут быть подвержены удаленным злоумышленникам».


Интернет-магазины видят всплеск автоматизированного мошенничества
Интернет-магазины видят всплеск
26.05.2021, Статьи / Безопасность / Мир
Синий экран смерти Microsoft Windows 11 станет черным
Синий экран смерти Microsoft Windows 11 станет
20.05.2022, Статьи / Безопасность / Мир
Понимание и снижение киберрисков в системе здравоохранения
Понимание и снижение киберрисков в системе
14.07.2021, Статьи
Медленная и стабильная победа в гонке за облаками
Медленная и стабильная победа в гонке за облаками
09.11.2021, Статьи / Безопасность / Экономика
Опасные листинги eBay могут быть удалены регулирующими органами
Опасные листинги eBay могут быть удалены
19.05.2022, Статьи / Транспорт
Эволюция программ-вымогателей и как двигаться дальше
Эволюция программ-вымогателей и как двигаться
14.07.2021, Статьи / Безопасность / Экономика
США отказываются от экстренной помощи в связи с кибератакой на топливопроводе
США отказываются от экстренной помощи в связи с
10.05.2021, Статьи / Экономика
В решении каких задач помогают миксеры криптовалюты
В решении каких задач помогают миксеры
16.05.2022, Статьи
Movie
В данной публикации отсутствуют комментарии !

Перед публикацией, советую ознакомится с правилами!

{login}

Твой комментарий..


Кликните на изображение чтобы обновить код, если он неразборчив


Лучшие новости

Лазерная резка и гравировка листовых материалов для рекламной отрасли
Лазерная резка и гравировка ...
Лазерная резка и гравировка листовых материалов стали
Почему и кому может понадобиться нарколог на дом
Почему и кому может понадобиться ...
В последние годы услуги нарколога на дому становятся все
Проволока стальная: Характеристики, виды и применение
Проволока стальная: ...
Проволока стальная — это универсальный материал, который
Юридические вопросы вскрытия замков: что нужно знать?
Юридические вопросы вскрытия ...
Вскрытие замков — тема, которая часто вызывает ассоциации с
Курсы по программированию: Ваш путь к востребованной профессии
Курсы по программированию: Ваш ...
В современном мире программирование стало одной из самых
Электролитическая подготовка LectroPol-5 - ВИСТЭК Основные преимущества: Электролитическая полировка и травление в автоматическом режиме. Функция сканирования для быстрого определения параметров подготовки.

Комментарии
{title}
Почему и кому может понадобиться нарколог на дом
Приветствуем вас от компании “Благострой”, где мы предлагаем профессиональные услуги по
admin, 28 августа 2024 11:53
{title}
Гибридный кроссовер WEY* 05: Новый уровень в сегменте гибридных автомобилей
Пошив чехлов на заказ гражданского и специального назначения. Ниже представлены примеры наших
admin, 20 августа 2024 21:43
{title}
Где купить автозапчасти на иномарку?
Пошив чехлов на заказ гражданского и специального назначения. Ниже представлены примеры наших
admin, 18 августа 2024 13:31
{title}
Работа: Основной Элемент Жизни и Карьеры
Пошив чехлов на заказ гражданского и специального назначения. Ниже представлены примеры наших
admin, 15 августа 2024 15:06
{title}
Автомобильные лампы H7: Обзор, преимущества и особенности
ТД «Сателлит-Юг» - ведущая компания на юге России по продаже и ремонту тракторов К-700, К-701,
admin, 13 июня 2024 21:09


Все комментарии..
Полный список последних комментариев