H2 Veritabanı Konsolunda Log4Shell Benzeri Kritik RCE Kusuru Bulundu
Araştırmacılar, geçen ay ortaya çıkan Log4j "Log4Shell" güvenlik açığını yansıtan bir şekilde uzaktan kod yürütülmesine neden olabilecek H2 veritabanı konsollarını etkileyen bir güvenlik açığını açıkladılar.
JFrog araştırmacıları Andrey Polkovnychenko ve ve Shachar Menashe, CVE-2021-42392 olarak izlenen sorun, "Log4Shell güvenlik açığının aynı temel nedenini, yani JNDI uzaktan sınıf yüklemesini kullanan Log4j dışındaki bir bileşen üzerinde Log4Shell'den bu yana yayınlanan ilk kritik sorundur" dedi.
H2, Java ile yazılmış, uygulamalar içine yerleştirilebilen veya bir istemci-sunucu modunda çalıştırılabilen açık kaynaklı bir ilişkisel veritabanı yönetim sistemidir. Maven Deposuna göre, H2 veritabanı motoru 6.807 eser tarafından kullanılıyor.
Java Adlandırma ve Dizin Arabirimi'nin kısaltması olan JNDI, ihtiyaç duyabileceği belirli bir kaynağı bulmak için API'yi LDAP ile birlikte kullanabilen Java uygulamaları için adlandırma ve dizin işlevi sağlayan bir API'yi ifade eder.
İlgili Yazılar:
- Log4j Keşfi İçin 4 Pratik Strateji
- Microsoft’tan Log4j Konusunda Yeni Uyarı!
- Five Eyes Nations, Log4j Güvenlik Açıklarına İlişkin Ortak Kılavuz Yayınladı
- Her İşletmenin Log4Shell Hakkında Bilmesi Gerekenler
Log4Shell durumunda , bu özellik ağın hem içinde hem de dışında sunuculara çalışma zamanı aramaları sağlar ve bu da, kimliği doğrulanmamış uzaktan kod yürütülmesine izin vermek ve sunucuya girdi olarak kötü amaçlı bir JNDI araması oluşturarak kötü amaçlı yazılım yerleştirmek için silahlandırılabilir. Log4j kitaplığının savunmasız sürümlerini günlüğe kaydetmek için kullanan herhangi bir Java uygulaması.
JFrog güvenlik araştırması kıdemli direktörü Menashe, "Aralık başında ortaya çıkarılan Log4Shell güvenlik açığına benzer şekilde, JNDI aramalarına yayılan saldırgan kontrollü URL'ler, kimliği doğrulanmamış uzaktan kod yürütülmesine izin vererek, saldırganlara başka bir kişinin veya kuruluşun sistemlerinin işleyişi üzerinde tek kontrol verebilir." dedi.
Hata, 1.1.100 ila 2.0.204 arasındaki H2 veritabanı sürümlerini etkiler ve 5 Ocak 2022'de gönderilen 2.0.206 sürümünde giderildi.
Menashe, "H2 veritabanı, Spring Boot, Play Framework ve JHipster dahil olmak üzere birçok üçüncü taraf çerçeve tarafından kullanılıyor" diye ekledi. "Bu güvenlik açığı Log4Shell kadar yaygın olmasa da, uygun şekilde ele alınmadığı takdirde geliştiriciler ve üretim sistemleri üzerinde hala dramatik bir etkisi olabilir."
Kaynak: https://thehackernews.com/2022/01/log4shell-like-critical-rce-flaw.html
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
