Java | H2数据库发现类似Log4Shell的漏洞
Java | H2数据库发现类似Log4Shell的漏洞
开源Java SQL数据库H2含有远端程序执行(RCE)漏洞,即便目前还无法确认该漏洞的风险值,但有安全厂商建议尽快升级到最新2.0.206版
去年底爆发的Apache Log4j漏洞,让全球安全和数据库管理员至今仍忙得不可开交,安全厂商JFrog最近发现常用数据库H2,也有类似Log4Shell的远端程序执行(RCE)漏洞,呼吁用户立即升级到最新的2.0.206版本。
这家安全厂商去年12月在H2数据库控制台(console)发现到的漏洞(编号CVE-2021-42392),和Log4Shell(JNDI remote class loading)根本原因相同。未经授权的攻击者可传送经改造的参数、触发目标服务器的漏洞,而在受害机器上远端执行程序。CVE-2021-42392的风险值尚未给定,研究人员解释,是因为最新漏洞被开发风险尚难确认。
H2是开源Java SQL数据库,以其轻巧、执行于内存,数据不需储存在磁盘内而受许多开发人员欢迎,也广泛用于多种项目中,比如Web平台Spring Boot或是IoT项目ThingWorks。com.h2database:h2以将700项依赖项(artifact),名列Maven依赖库中前5大套件。
CVE-2021-42392漏洞出现在H2数据库多行代码,在未经过滤下将攻击者控制、伪造的URL,传送到控制台上的javax.naming.Context.lookup函数,允许加载远端程式,即Java程序码注入或RCE。
研究人员进一步解释,org.h2.util.JdbcUtils.getConnection方法可加入驱动程序类别(driver class)及数据库URL。如果驱动程序类别可被指派为javax.naming.Context类,则攻击者可建立实例(inisantiate)并调用查询方法。此时如果提供的驱动程序类别是javax.naming.InitialContext及URL: ldap://attacker.com/Exploit,则可导致RCE、甚至接管系统。
不过它和Log4Shell风险还是有差距。研究人员说明,首先,处理恶意攻击的目标机器必须是H2控制台(console)的服务器。许多厂商和企业可能有H2数据库,但不见得有H2控制台,缩减了潜在受害者的广度。另外,香草(vanilla)版H2数据库中,H2控制台预设本地主机连接,不会受远端攻击,但是它也可变更为远端连接。
研究人员指出,如果本地区域网路(LAN)、甚至广域网路(WAN)上跑H2控制台的服务器有这漏洞的话,后果相当严重。研究人员也呼吁用户立即升级到已解决漏洞的最新2.0.206版本,原因在于有其他攻击管道,同时遭开发风险尚难确认。
在Log4Shell漏洞方面,Log4j修补版本公布一个月后,攻击活动仍然猛烈。微软本周指出,12月几个星期间试图开发漏洞的活动仍然频繁。美国联邦交易委员会(FTC)警告,若因未修补漏洞而致用户资料外泄或财务损失,可能遭FTC提告。