欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

警告!與Log4Shell相似的Java漏洞出現(xiàn)了

2022-10-05    分類(lèi): 網(wǎng)站建設(shè)

警告!與Log4Shell相似的Java漏洞出現(xiàn)了

安全研究人員警告稱(chēng),一個(gè)最新的嚴(yán)重的Java錯(cuò)誤,其本質(zhì)與目前在全球范圍內(nèi)利用的臭名昭著的 Log4Shell 漏洞相同 。

CVE-2021-42392 尚未在國(guó)家漏洞數(shù)據(jù)庫(kù) (NVD) 中正式發(fā)布,但據(jù)軟件企業(yè)內(nèi)JFrog 稱(chēng),它影響了流行的H2 Java SQL 數(shù)據(jù)庫(kù)的控制臺(tái)。

這家安全公司提醒,任何目前運(yùn)行的暴露于其 LAN 或 WAN 的 H2 控制臺(tái)的組織立即將數(shù)據(jù)庫(kù)更新到 2.0.206 版本,否則攻擊者可能會(huì)利用它進(jìn)行未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行 (RCE)。

與 Log4Shell 一樣,該錯(cuò)誤與 JNDI(Java 命名和目錄接口)“遠(yuǎn)程類(lèi)加載”有關(guān)。JNDI 是一種為 Java 應(yīng)用程序提供命名和目錄功能的 API。這意味著如果攻擊者可以將惡意 URL 獲取到 JNDI 查找中,它就可以啟用 RCE。

“簡(jiǎn)而言之,根本原因類(lèi)似于 Log4Shell——H2 數(shù)據(jù)庫(kù)框架中的多個(gè)代碼路徑將未經(jīng)過(guò)濾的攻擊者控制的 URL 傳遞給 javax.naming.Context.lookup 函數(shù),該函數(shù)允許遠(yuǎn)程代碼庫(kù)加載(AKA Java 代碼注入 AKA遠(yuǎn)程代碼執(zhí)行),” JFrog 解釋道。

“具體來(lái)說(shuō),org.h2.util.JdbcUtils.getConnection 方法以驅(qū)動(dòng)類(lèi)名和數(shù)據(jù)庫(kù) URL 作為參數(shù)。如果驅(qū)動(dòng)程序的類(lèi)可分配給 javax.naming.Context 類(lèi),則該方法會(huì)從中實(shí)例化一個(gè)對(duì)象并調(diào)用其查找方法?!?/p>

提供諸如“javax.naming.InitialContext”之類(lèi)的驅(qū)動(dòng)程序類(lèi)和像 ldap://attacker.com/Exploit 這樣簡(jiǎn)單的 URL 將導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

JFrog 表示,該漏洞特別危險(xiǎn),因?yàn)?H2 數(shù)據(jù)庫(kù)包特別受歡迎。該公司聲稱(chēng),它是前 50 個(gè)最受歡迎的 Maven 軟件包之一,擁有近 7000 個(gè)工件依賴(lài)項(xiàng)。

但是,有一些原因?qū)е吕貌粫?huì)像 Log4Shell 那樣廣泛。一方面,它具有“直接影響范圍”,這意味著易受攻擊的服務(wù)器應(yīng)該更容易找到。其次,在大多數(shù) H2 發(fā)行版中,控制臺(tái)只監(jiān)聽(tīng) localhost 連接,這意味著默認(rèn)設(shè)置是不可利用的。

“許多供應(yīng)商可能正在運(yùn)行 H2 數(shù)據(jù)庫(kù),但沒(méi)有運(yùn)行 H2 控制臺(tái),雖然除了控制臺(tái)之外還有其他向量可以利用這個(gè)問(wèn)題,但這些其他向量是依賴(lài)于上下文的,不太可能暴露給遠(yuǎn)程攻擊者?!盝Frog 補(bǔ)充道。

分享名稱(chēng):警告!與Log4Shell相似的Java漏洞出現(xiàn)了
鏈接地址:http://aaarwkj.com/news/202264.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供微信公眾號(hào)、網(wǎng)站收錄、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)外貿(mào)建站、手機(jī)網(wǎng)站建設(shè)、網(wǎng)站改版

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設(shè)公司
亚洲三区四区视频在线观看| 91麻豆成人国产在线观看| 久久成人激情免费视频| 国产交换精品一区二区三区| 亚洲综合日韩精品国产av| 国产精品自拍小视频91| 成人午夜在线免费观看| 久久五十路初次拍五十路| 人妻天堂久久一区二区三区| 日本中文字幕不卡在线一区二区| 日韩欧美一区二区狠狠插| 亚洲精品一区二区三区小| 成人午夜三级在线观看| 日本日本熟妇在线视频| 免费亚洲老熟熟女熟女熟女| 国产精品xxxx国产精品| 亚洲精品老司机福利在线| 国产精品一区二区三区欧美| 91精品婷婷国产综合| 日韩在线中文字幕三区| 亚洲精品入口一区二区| 青青草原综合视频在线| 中文字幕乱码人妻一区| 精品色欧美色国产一区国产| 十八禁真人无摭挡观看| 中文乱码字幕亚洲精品| 亚洲码av一区二区三区| 欧美日韩精品福利一区二区| 熟女人妻一区二区三区免费看| 四虎在线永久观看视频| 岛国av有码高清在线观看| 97视频在线观看免费| 亚洲精品麻豆一区二区| 在线观看中文字幕日韩精品| 国产b片免费在线观看| 国产欧美日本精品视频| 成人免费在线视频不卡| 欧美熟妇精品一区二区蜜桃| 日韩一二区不卡在线视频| 黑人精品一区二区三区| 麻豆视频91免费观看|