安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

1、H2数据库控制台中发现类似Log4Shell类型的严重远程代码执行漏洞（1.7）

研究人员披露了一个影响H2数据库控制台的安全漏洞，该漏洞可能导致远程代码执行，其攻击方式与上个月发现的Log4j漏洞类似。

详细情况

H2是一个开源的嵌入式数据库引擎，采用java语言编写，不受平台的限制，同时提供web控制台用于操作和管理数据库内容。这次在其中发现的漏洞（CVE-2021-42392）是Log4Shell被爆出之后首个和它原因相同但不在Log4j上的漏洞。与Log4Shell漏洞类似，攻击者将其控制的URL注入到JNDI查找中，从而实现未经身份验证的远程代码执行，使攻击者能够单独控制他人或组织的系统操作。

该漏洞将影响H2数据库的1.1.100到2.0.204版本，但在2.0.206版本中进行了修复。尽管该漏洞没有Log4Shell普遍，但如果不及时进行相应处理，仍然会对开发人员和生产系统产生重大影响。

参考链接

https://thehackernews.com/2022/01/log4shell-like-critical-rce-flaw.html

2、微软发布了2022年第一批补丁（1.11）

微软于1月11日发布了2022年第一批补丁，修复了其软件生态系统中的近百个漏洞。

详细情况

这次修复的漏洞中包括9个高危漏洞和6个已知的0-day漏洞，其中并没有遭到攻击的漏洞。其中最重要漏洞的是CVE-2022-21907 (CVSS评分9.8)，这是一个源于HTTP协议栈的远程代码执行漏洞。在大多数情况下，未经认证的攻击者可以通过HTTP协议栈(http .sys)来处理其向目标服务器发送的特别制作的数据包。专家指出这是一个蠕虫漏洞，无需用户交互便能触发或传播。

参考链接

https://thehackernews.com/2022/01/first-patch-tuesday-of-2022-brings-fix.html