内存安全周报第75期 | H2数据库控制台中发现类似Log4Shell类型的严重远程代码执行漏洞
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
1、H2数据库控制台中发现类似Log4Shell类型的严重远程代码执行漏洞(1.7)
研究人员披露了一个影响H2数据库控制台的安全漏洞,该漏洞可能导致远程代码执行,其攻击方式与上个月发现的Log4j漏洞类似。
详细情况
H2是一个开源的嵌入式数据库引擎,采用java语言编写,不受平台的限制,同时提供web控制台用于操作和管理数据库内容。这次在其中发现的漏洞(CVE-2021-42392)是Log4Shell被爆出之后首个和它原因相同但不在Log4j上的漏洞。与Log4Shell漏洞类似,攻击者将其控制的URL注入到JNDI查找中,从而实现未经身份验证的远程代码执行,使攻击者能够单独控制他人或组织的系统操作。
该漏洞将影响H2数据库的1.1.100到2.0.204版本,但在2.0.206版本中进行了修复。尽管该漏洞没有Log4Shell普遍,但如果不及时进行相应处理,仍然会对开发人员和生产系统产生重大影响。
参考链接
https://thehackernews.com/2022/01/log4shell-like-critical-rce-flaw.html
2、微软发布了2022年第一批补丁(1.11)
微软于1月11日发布了2022年第一批补丁,修复了其软件生态系统中的近百个漏洞。
详细情况
这次修复的漏洞中包括9个高危漏洞和6个已知的0-day漏洞,其中并没有遭到攻击的漏洞。其中最重要漏洞的是CVE-2022-21907 (CVSS评分9.8),这是一个源于HTTP协议栈的远程代码执行漏洞。在大多数情况下,未经认证的攻击者可以通过HTTP协议栈(http .sys)来处理其向目标服务器发送的特别制作的数据包。专家指出这是一个蠕虫漏洞,无需用户交互便能触发或传播。
参考链接
https://thehackernews.com/2022/01/first-patch-tuesday-of-2022-brings-fix.html