注意！与Log4Shell相似的Java漏洞出现了

安全研究人员警告称，一个最新的严重的Java错误，其本质与目前在全球范围内利用的臭名昭著的Log4Shell漏洞相同。

CVE-2021-42392漏洞

CVE-2021-42392尚未在国家漏洞数据库(NVD)中正式发布，但据软件企业内JFrog称，它影响了流行的H2 Java SQL数据库的控制台。

这家安全公司提醒，任何目前运行的暴露于其LAN或WAN的H2控制台的组织立即将数据库更新到2.0.206版本，否则攻击者可能会利用它进行未经身份验证的远程代码执行(RCE)。

与Log4Shell一样，该错误与JNDI（Java命名和目录接口）“远程类加载”有关。JNDI是一种为Java应用程序提供命名和目录功能的API。这意味着如果攻击者可以将恶意URL获取到JNDI查找中，它就可以启用RCE。

“简而言之，根本原因类似于Log4Shell——H2数据库框架中的多个代码路径将未经过滤的攻击者控制的URL传递给javax.naming.Context.lookup函数，该函数允许远程代码库加载（AKA Java代码注入AKA远程代码执行），”JFrog解释道。

“具体来说，org.h2.util.JdbcUtils.getConnection方法以驱动类名和数据库URL作为参数。如果驱动程序的类可分配给javax.naming.Context类，则该方法会从中实例化一个对象并调用其查找方法。”

提供诸如“javax.naming.InitialContext”之类的驱动程序类和像ldap://attacker.com/Exploit这样简单的URL将导致远程代码执行。

JFrog表示该漏洞特别危险

JFrog表示，该漏洞特别危险，因为H2数据库包特别受欢迎。该公司声称，它是前50个最受欢迎的Maven软件包之一，拥有近7000个工件依赖项。

但是，有一些原因导致利用不会像Log4Shell那样广泛。一方面，它具有“直接影响范围”，这意味着易受攻击的服务器应该更容易找到。其次，在大多数H2发行版中，控制台只监听localhost连接，这意味着默认设置是不可利用的。

“许多供应商可能正在运行H2数据库，但没有运行H2控制台，虽然除了控制台之外还有其他向量可以利用这个问题，但这些其他向量是依赖于上下文的，不太可能暴露给远程攻击者。”JFrog补充道。