国产亚洲精品无码无需播放器
国产精品一区二区国产主播

天天干天天日 警告!与Log4Shell相似的Java破绽出现了

发布日期:2022-05-10 19:24    点击次数:179

天天干天天日

安全征询人员警告称天天干天天日,一个最新的严重的Java诞妄,其实质与当今在全国领域内垄断的污名昭著的 Log4Shell 破绽调换 。

CVE-2021-42392 尚未在国度破绽数据库 (NVD) 中阐发发布,但据软件企业内JFrog 称天天干天天日,它影响了流行的H2 Java SQL 数据库的实现台。

这家安全公司指示天天干天天日,任何当今启动的潜入于其 LAN 或 WAN 的 H2 实现台的组织立行将数据库更新到 2.0.206 版块,不然挫折者可能会垄断它进行未经身份考证的费力代码施行 (RCE)。

与 Log4Shell 相同天天干天天日,该诞妄与 JNDI(Java 定名和目次接口)“费力类加载”关系。JNDI 是一种为 Java 应用要领提供定名和目次功能的 API。这意味着如若挫折者不错将坏心 URL 获得到 JNDI 查找中,它就不错启用 RCE。

“简而言之,根柢原因雷同于 Log4Shell——H2 数据库框架中的多个代码旅途将未过程滤的挫折者实现的 URL 传递给 javax.naming.Context.lookup 函数,该函数允许费力代码库加载(AKA Java 代码注入 AKA费力代码施行)天天干天天日,” JFrog 诠释道。

天天干天天日

“具体来说,org.h2.util.JdbcUtils.getConnection 递次以驱动类名和数据库 URL 当作参数。如若驱动要领的类可分派给 javax.naming.Context 类,则该递次会从中实例化一个对象并调用其查找递次。”

提供诸如“javax.naming.InitialContext”之类的驱动要领类和像 ldap://attacker.com/Exploit 这么粗浅的 URL 将导致费力代码施行。

JFrog 暗示,该破绽十分危急,国产精品一区二区国产主播因为 H2 数据库包十分受接待。该公司宣称,它是前 50 个最受接待的 Maven 软件包之一,领有近 7000 个工件依赖项。

可是,有一些原因导致垄断不会像 Log4Shell 那样日常。一方面,它具有“径直影响领域”,这意味着易受挫折的干事器应该更容易找到。其次,在大无数 H2 刊行版中,实现台只监听 localhost 瓦解,这意味着默许成就是不成垄断的。

“好多供应商可能正在启动 H2 数据库,但莫得启动 H2 实现台,天然除了实现台以外还有其他向量不错垄断这个问题,但这些其他向量是依赖于高下文的,不太可能潜入给费力挫折者。”JFrog 补充道。

 天天干天天日



Powered by 国产亚洲精品无码无需播放器 @2013-2022 RSS地图 HTML地图