`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

В СУБД H2 найдена уязвимость, аналогичная Log4Shell

11 января 2022 г., 10:15
0 
 

В СУБД H2 найдена уязвимость, аналогичная Log4Shell

Эксперты безопасности из JFrog заявили, что обнаружили в консоли базы данных H2 критическую уязвимость, которой будет присвоен идентификационный номер CVE-2021-42392. Они утверждают, что в основе CVE-2021-42392 лежит та же проблема, что и у Log4Shell, а именно загрузка удаленного класса JNDI (Java Naming and Directory Interface).

Набор API JNDI предназначен для доступа к службам имен и каталогов в приложениях Java. Шачар Менаше (Shachar Menashe), старший директор отдела исследований безопасности JFrog, сообщил, что как и в случае Log4Shell, обнаруженной в начале декабря, URL-адреса, распространяемые без верификации в поиске JNDI, позволяют удалённо выполнять код (Remote Code Execution, RCE), что даёт злоумышленникам полный контроль над работой чужого компьютера.

CVE-2021-42392 стала результатом целенаправленного автоматизированного поиска RCE-уязвимостей, связанных с JNDI, и, как полагают в JFrog, она не станет последней. Пакет базы данных H2 был проверен одним из первых, о находке были уведомлены специалисты по поддержке H2, которые немедленно выпустили обновление (2.0.206), сопроводив его рекомендациями в GitHub. Патч разрешает JNDI URL-адресам использование только локального Java-протокола, благодаря чему блокируются любые удалённые запросы LDAP/RMI.

H2 — это популярная база данных Java SQL с открытым исходным кодом, используемая для различных проектов, начиная от веб-платформ, таких как Spring Boot, и заканчивая платформами IoT, такими как ThingWorks.  Исследователи отметили, что пакет com.h2database:h2 является «частью 50 самых популярных пакетов Maven с почти 7000 артефактными зависимостями».

Настоятельно рекомендуя всем обновить свои базы данных H2 до версии 2.0.206, JFrog тем не менее прогнозирует, что инциденты с CVE-2021-42392 не будут столь массовыми как с Log4Shell. В настройках H2 Database Console по умолчанию доступ к консоли возможен лишь локально, поэтому количество машин, в которых конфигурация целенаправленно изменена так, чтобы активировать уязвимость, не может быть велико. Основываясь на аналитике OSINT, Мэтью Уорнер (Matthew Warner), технический директор Blumira, утверждает, что, в Интернете, вероятно, имеется менее 100 затронутых серверов. Кроме того, по сравнению с Log4Shell выявлять и защищать уязвимые системы будет гораздо легче, поскольку CVE-2021-42392 находится в приложении, а не в библиотеке.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT