健康资讯 H2数据库引擎也遭遇远程代码执行漏洞?!
Log4j 漏洞带来的影响尚未停歇,最近流行的 Java SQL 数据库——H2 数据库引擎也被爆出存在远程代码执行漏洞 (CVE-2021-42392)。
该漏洞与 Log4j 漏洞类似,未经身份验证的攻击者可以实现远程代码执行 (RCE),因为控制台接受任意 Java 命名和目录接口 ( JNDI ) lookup URL。H2 维护人员 1 月 5 日发布 GitHub 安全公告称,该漏洞 (CVE-2021-42392) “允许通过 JNDI 从远程服务器加载自定义类” 。
目前,易受攻击的 H2 版本涉及 1.1.100 (2008-10-14) 到 2.0.204 (2021-12-21),维护者表示在 2.0.206 版本中修复了该漏洞。与 Log4j 修复类似,该补丁将 JNDI URL 限制为仅使用本地 Java 协议,从而阻止远程 LDAP/RMI 查询。
H2 拥有近 7,000 个工件依赖项,是最受欢迎的开源 Maven 包之一。
公告地址:网页链接
#安全##GitHub##漏洞#
