Исслeдoватели прeдупрeждaют о нoвoй уязвимoсти Jаvа, пoхoжeй нa Log4Shell » Каталог статей


Исслeдoватели прeдупрeждaют о нoвoй уязвимoсти Jаvа, пoхoжeй нa Log4Shell

Статьи / Безопасность

Исслeдoватели прeдупрeждaют о нoвoй уязвимoсти Jаvа, пoхoжeй нa Log4Shell


Публикуйте объявления, заметки и многое другое. Доска объявлений Купи Продай отличный способ держать вашу занятую команду в нужном русле.

Исследователи безопасности предупреждают о новой критической ошибке Java с той же основной причиной, что и печально известная уязвимость Log4Shell, которая в настоящее время эксплуатируется по всему миру.

CVE-2021-42392 еще официально не опубликована в Национальной базе данных уязвимостей (NVD), но, по словам JFrog, она влияет на консоль популярной базы данных H2 Java SQL.

Фирма по безопасности призвала любую организацию, которая в настоящее время использует консоль H2, доступную к их локальной или глобальной сети, немедленно обновить базу данных до версии 2.0.206, иначе злоумышленники могут использовать ее для удаленного выполнения кода без проверки подлинности (RCE).

Как и в Log4Shell, ошибка связана с JNDI (Java Naming and Directory Interface) «удаленная загрузка классов». JNDI — это API, который предоставляет функции именования и каталогов для приложений Java. Это означает, что если злоумышленник сможет получить вредоносный URL-адрес для поиска JNDI, он может включить RCE.

«Короче говоря, основная причина аналогична Log4Shell — несколько путей кода в структуре базы данных H2 передают нефильтрованные URL-адреса, контролируемые злоумышленниками, в функцию javax.naming.Context.lookup, которая позволяет удаленно загружать кодовую базу (также известная как внедрение кода Java, известная как инъекция кода Java). удаленное выполнение кода)», — объяснил JFrog.

«В частности, метод org.h2.util.JdbcUtils.getConnection принимает в качестве параметров имя класса драйвера и URL-адрес базы данных. Если класс драйвера присваивается классу javax.naming.Context, метод создает экземпляр объекта из него и вызывает его метод поиска».

Он добавил, что предоставление класса драйвера, такого как «javax.naming.InitialContext», и простого URL-адреса, такого как ldap://attacker.com/Exploit, приведет к удаленному выполнению кода.

JFrog заявил, что уязвимость особенно опасна, поскольку пакет базы данных H2 особенно популярен. По заявлению фирмы, это один из 50 самых популярных пакетов Maven с почти 7000 зависимостями артефактов.

Однако есть несколько причин, по которым эксплуатация не будет столь распространена, как Log4Shell. Во-первых, он имеет «прямой масштаб воздействия», что означает, что уязвимые серверы должно быть легче найти.

Во-вторых, в большинстве дистрибутивов H2 консоль прослушивает только соединения с локальным хостом, что означает, что настройка по умолчанию не может быть использована.

«Многие поставщики могут использовать базу данных H2, но не использовать консоль H2», — добавил JFrog. «Хотя есть и другие способы использования этой проблемы помимо консоли, эти другие векторы зависят от контекста и с меньшей вероятностью могут быть подвержены удаленным злоумышленникам».

Интернет-магазины видят всплеск автоматизированного мошенничества
Интернет-магазины видят всплеск
26.05.2021, Статьи / Безопасность / Мир
Синий экран смерти Microsoft Windows 11 станет черным
Синий экран смерти Microsoft Windows 11 станет
20.05.2022, Статьи / Безопасность / Мир
Понимание и снижение киберрисков в системе здравоохранения
Понимание и снижение киберрисков в системе
14.07.2021, Статьи
Медленная и стабильная победа в гонке за облаками
Медленная и стабильная победа в гонке за облаками
09.11.2021, Статьи / Безопасность / Экономика
Опасные листинги eBay могут быть удалены регулирующими органами
Опасные листинги eBay могут быть удалены
19.05.2022, Статьи / Транспорт
Эволюция программ-вымогателей и как двигаться дальше
Эволюция программ-вымогателей и как двигаться
14.07.2021, Статьи / Безопасность / Экономика
США отказываются от экстренной помощи в связи с кибератакой на топливопроводе
США отказываются от экстренной помощи в связи с
10.05.2021, Статьи / Экономика
В решении каких задач помогают миксеры криптовалюты
В решении каких задач помогают миксеры
16.05.2022, Статьи
Movie
В данной публикации отсутствуют комментарии !

Перед публикацией, советую ознакомится с правилами!

{login}

Твой комментарий..


Кликните на изображение чтобы обновить код, если он неразборчив