शोधकर्ताओं ने H2 डेटाबेस कंसोल को प्रभावित करने वाली एक सुरक्षा खामी का खुलासा किया है जिसके परिणामस्वरूप रिमोट कोड निष्पादन इस तरह से हो सकता है जो पिछले महीने सामने आए Log4j “Log4Shell” भेद्यता को प्रतिध्वनित करता है।

समस्या, के रूप में ट्रैक किया गया सीवीई-2021-42392, “Log4Shell के बाद से प्रकाशित पहला महत्वपूर्ण मुद्दा है, Log4j के अलावा किसी अन्य घटक पर, जो Log4Shell भेद्यता के समान मूल कारण का शोषण करता है, अर्थात् JNDI रिमोट क्लास लोडिंग,” JFrog शोधकर्ता एंड्री पोलकोवनीचेंको और शचर मेनाशे कहा.

स्वचालित GitHub बैकअप

एच 2 जावा में लिखा गया एक ओपन-सोर्स रिलेशनल डेटाबेस मैनेजमेंट सिस्टम है जिसे एप्लिकेशन के भीतर एम्बेड किया जा सकता है या क्लाइंट-सर्वर मोड में चलाया जा सकता है। के अनुसार मेवेन रिपोजिटरी, H2 डेटाबेस इंजन का उपयोग 6,807 कलाकृतियों द्वारा किया जाता है।

JNDI, जावा नामकरण और निर्देशिका इंटरफ़ेस के लिए संक्षिप्त, एक एपीआई को संदर्भित करता है जो जावा अनुप्रयोगों के लिए नामकरण और निर्देशिका कार्यक्षमता प्रदान करता है, जो एक विशिष्ट संसाधन का पता लगाने के लिए LDAP के संयोजन के साथ API का उपयोग कर सकता है जिसकी उसे आवश्यकता हो सकती है।

के मामले में लॉग4शेल, यह सुविधा नेटवर्क के अंदर और बाहर सर्वर पर रनटाइम लुकअप को सक्षम बनाती है, जो बदले में, किसी भी जावा एप्लिकेशन के इनपुट के रूप में दुर्भावनापूर्ण JNDI लुकअप को क्राफ्ट करके सर्वर पर अनधिकृत रिमोट कोड निष्पादन और इम्प्लांट मैलवेयर की अनुमति देने के लिए हथियार बनाया जा सकता है। इसे लॉग करने के लिए Log4j लाइब्रेरी के कमजोर संस्करण।

JFrog सुरक्षा अनुसंधान के वरिष्ठ निदेशक मेनाशे ने कहा, “दिसंबर की शुरुआत में उजागर हुई Log4Shell भेद्यता के समान, हमलावर-नियंत्रित URL जो JNDI लुकअप में प्रचारित होते हैं, अनधिकृत रिमोट कोड निष्पादन की अनुमति दे सकते हैं, जिससे हमलावरों को किसी अन्य व्यक्ति या संगठन के सिस्टम के संचालन पर एकमात्र नियंत्रण मिल जाता है।” , व्याख्या की।

डेटा उल्लंघनों को रोकें

दोष H2 डेटाबेस संस्करण 1.1.100 से 2.0.204 को प्रभावित करता है और इसे संस्करण 2.0.206 . में संबोधित किया गया है लादा गया 5 जनवरी 2022 को।

“H2 डेटाबेस का उपयोग स्प्रिंग बूट, प्ले फ्रेमवर्क और JHipster सहित कई तृतीय-पक्ष ढांचे द्वारा किया जाता है,” मेनाशे ने कहा। “हालांकि यह भेद्यता Log4Shell के रूप में व्यापक नहीं है, फिर भी यह डेवलपर्स और उत्पादन प्रणालियों पर नाटकीय प्रभाव डाल सकता है यदि तदनुसार संबोधित नहीं किया जाता है।”

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here