警告！與Log4Shell相似的Java漏洞出現了

安全研究人員警告稱，一個最新的嚴重的Java錯誤，其本質與目前在全球范圍內利用的臭名昭著的 Log4Shell 漏洞相同 。

CVE-2021-42392 尚未在國家漏洞數據庫 (NVD) 中正式發布，但據軟件企業內JFrog 稱，它影響了流行的H2 Java SQL 數據庫的控制臺。

這家安全公司提醒，任何目前運行的暴露于其 LAN 或 WAN 的 H2 控制臺的組織立即將數據庫更新到 2.0.206 版本，否則攻擊者可能會利用它進行未經身份驗證的遠程代碼執行 (RCE)。

與 Log4Shell 一樣，該錯誤與 JNDI（Java 命名和目錄接口）“遠程類加載”有關。JNDI 是一種為 Java 應用程序提供命名和目錄功能的 API。這意味著如果攻擊者可以將惡意 URL 獲取到 JNDI 查找中，它就可以啟用 RCE。

“簡而言之，根本原因類似于 Log4Shell——H2 數據庫框架中的多個代碼路徑將未經過濾的攻擊者控制的 URL 傳遞給 javax.naming.Context.lookup 函數，該函數允許遠程代碼庫加載（AKA Java 代碼注入 AKA遠程代碼執行），” JFrog 解釋道。

“具體來說，org.h2.util.JdbcUtils.getConnection 方法以驅動類名和數據庫 URL 作為參數。如果驅動程序的類可分配給 javax.naming.Context 類，則該方法會從中實例化一個對象并調用其查找方法。”

提供諸如“javax.naming.InitialContext”之類的驅動程序類和像 ldap://attacker.com/Exploit 這樣簡單的 URL 將導致遠程代碼執行。

JFrog 表示，該漏洞特別危險，因為 H2 數據庫包特別受歡迎。該公司聲稱，它是前 50 個最受歡迎的 Maven 軟件包之一，擁有近 7000 個工件依賴項。

但是，有一些原因導致利用不會像 Log4Shell 那樣廣泛。一方面，它具有“直接影響范圍”，這意味著易受攻擊的服務器應該更容易找到。其次，在大多數 H2 發行版中，控制臺只監聽 localhost 連接，這意味著默認設置是不可利用的。

許多供應商可能正在運行 H2 數據庫，但沒有運行 H2 控制臺，雖然除了控制臺之外還有其他向量可以利用這個問題，但這些其他向量是依賴于上下文的，不太可能暴露給遠程攻擊者。”JFrog 補充道。