安全研究人員警告稱，一個最新的嚴(yán)重的Java錯誤，其本質(zhì)與目前在全球范圍內(nèi)利用的臭名昭著的 Log4Shell 漏洞相同 。

CVE-2021-42392 尚未在國家漏洞數(shù)據(jù)庫 (NVD) 中正式發(fā)布，但據(jù)軟件企業(yè)內(nèi)JFrog 稱，它影響了流行的H2 Java SQL 數(shù)據(jù)庫的控制臺。

這家安全公司提醒，任何目前運行的暴露于其 LAN 或 WAN 的 H2 控制臺的組織立即將數(shù)據(jù)庫更新到 2.0.206 版本，否則攻擊者可能會利用它進行未經(jīng)身份驗證的遠程代碼執(zhí)行 (RCE)。

與 Log4Shell 一樣，該錯誤與 JNDI(Java 命名和目錄接口)“遠程類加載”有關(guān)。JNDI 是一種為 Java 應(yīng)用程序提供命名和目錄功能的 API。這意味著如果攻擊者可以將惡意 URL 獲取到 JNDI 查找中，它就可以啟用 RCE。

“簡而言之，根本原因類似于 Log4Shell——H2 數(shù)據(jù)庫框架中的多個代碼路徑將未經(jīng)過濾的攻擊者控制的 URL 傳遞給 javax.naming.Context.lookup 函數(shù)，該函數(shù)允許遠程代碼庫加載(AKA Java 代碼注入 AKA遠程代碼執(zhí)行)，” JFrog 解釋道。

“具體來說，org.h2.util.JdbcUtils.getConnection 方法以驅(qū)動類名和數(shù)據(jù)庫 URL 作為參數(shù)。如果驅(qū)動程序的類可分配給 javax.naming.Context 類，則該方法會從中實例化一個對象并調(diào)用其查找方法。”

提供諸如“javax.naming.InitialContext”之類的驅(qū)動程序類和像 ldap://attacker.com/Exploit 這樣簡單的 URL 將導(dǎo)致遠程代碼執(zhí)行。

JFrog 表示，該漏洞特別危險，因為 H2 數(shù)據(jù)庫包特別受歡迎。該公司聲稱，它是前 50 個最受歡迎的 Maven 軟件包之一，擁有近 7000 個工件依賴項。

但是，有一些原因?qū)е吕貌粫?Log4Shell 那樣廣泛。一方面，它具有“直接影響范圍”，這意味著易受攻擊的服務(wù)器應(yīng)該更容易找到。其次，在大多數(shù) H2 發(fā)行版中，控制臺只監(jiān)聽 localhost 連接，這意味著默認設(shè)置是不可利用的。

“許多供應(yīng)商可能正在運行 H2 數(shù)據(jù)庫，但沒有運行 H2 控制臺，雖然除了控制臺之外還有其他向量可以利用這個問題，但這些其他向量是依賴于上下文的，不太可能暴露給遠程攻擊者。”JFrog 補充道。