Cacat RCE Kritis seperti Log4Shell Ditemukan di Konsol Basis Data H2

  • Whatsapp
H2 Database Console
Cacat RCE Kritis seperti LogShell Ditemukan di Konsol Basis Data

News.nextcloud.asia –

Konsol Basis Data H2

Para peneliti telah mengungkapkan kelemahan keamanan yang mempengaruhi konsol database H2 yang dapat mengakibatkan eksekusi kode jarak jauh dengan cara yang menggemakan kerentanan Log4j “Log4Shell” yang terungkap bulan lalu.

Masalahnya, dilacak sebagai CVE-2021-42392, adalah ” masalah kritis pertama yang diterbitkan sejak Log4Shell, pada komponen selain Log4j, yang mengeksploitasi akar penyebab kerentanan Log4Shell yang sama, yaitu pemuatan kelas jarak jauh JNDI,” peneliti JFrog Andrey Polkovnychenko dan Shachar Menashe dikatakan.

Pencadangan GitHub Otomatis

H2 adalah sistem manajemen basis data relasional sumber terbuka yang ditulis dalam Java yang dapat disematkan di dalam aplikasi atau dijalankan dalam mode klien-server. Menurut Gudang Maven, mesin database H2 digunakan oleh 6.807 artefak.

JNDI, kependekan dari Java Naming and Directory Interface, mengacu pada API yang menyediakan penamaan dan fungsionalitas direktori untuk aplikasi Java, yang dapat menggunakan API bersama dengan LDAP untuk menemukan sumber daya tertentu yang mungkin diperlukan.

Konsol Basis Data H2

Dalam kasus Log4Shell, fitur ini memungkinkan pencarian runtime ke server, baik di dalam maupun di luar jaringan, yang, pada gilirannya, dapat dipersenjatai untuk memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi dan menanamkan malware di server dengan membuat pencarian JNDI berbahaya sebagai input ke aplikasi Java apa pun yang menggunakan versi rentan dari pustaka Log4j untuk mencatatnya.

“Mirip dengan kerentanan Log4Shell yang ditemukan pada awal Desember, URL yang dikendalikan penyerang yang menyebar ke pencarian JNDI dapat memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi, memberi penyerang kendali tunggal atas pengoperasian sistem orang atau organisasi lain,” Menashe, direktur senior penelitian keamanan JFrog , dijelaskan.

Mencegah Pelanggaran Data

Cacat ini memengaruhi basis data H2 versi 1.1.100 hingga 2.0.204 dan telah diatasi di versi 2.0.206 dikirim pada 5 Januari 2022.

“Basis data H2 digunakan oleh banyak kerangka kerja pihak ketiga, termasuk Spring Boot, Play Framework, dan JHipster,” tambah Menashe. “Meskipun kerentanan ini tidak seluas Log4Shell, itu masih dapat berdampak dramatis pada pengembang dan sistem produksi jika tidak ditangani dengan tepat.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.