H2 Veritabanı Konsolunda Log4Shell Benzeri Açık Bulundu

log4shell

Araştırmacılar, geçen ay ortaya çıkan Log4j “Log4Shell” güvenlik açığına benzeyen bir uzaktan kod yürütülmesine neden olabilecek H2 veritabanı konsollarını etkileyen bir güvenlik açığını açıkladılar.

JFrog araştırmacıları Andrey Polkovnychenko, CVE-2021-42392 olarak izlenen sorun, “Log4Shell güvenlik açığının aynı temel nedenini, yani JNDI uzaktan sınıf yüklemesini kullanan Log4j dışındaki bir bileşen üzerinde Log4Shell’den bu yana yayınlanan ilk kritik sorundur.”

H2, Java ile yazılmış, uygulamalar içine yerleştirilebilen veya bir istemci-sunucu modunda çalıştırılabilen açık kaynaklı bir ilişkisel veritabanı yönetim sistemidir. Maven Deposuna göre, H2 veritabanı motoru 6.807 eser tarafından kullanılıyor.

Java Adlandırma ve Dizin Arayüzü’nün kısaltması olan JNDI, Java uygulamaları için adlandırma ve dizin işlevi sağlayan ve ihtiyaç duyabileceği belirli bir kaynağı bulmak için API’yi LDAP ile birlikte kullanabilen bir API’yi ifade eder.

Log4Shell söz konusu olduğunda, bu özellik ağın hem içinde hem de dışında sunuculara çalışma zamanı aramaları sağlar ve bu da, kimliği doğrulanmamış uzaktan kod yürütülmesine izin vermek için silahlandırılabilir ve giriş olarak kötü amaçlı bir JNDI araması hazırlayarak sunucuya kötü amaçlı yazılım yerleştirebilir. Log4j kitaplığının savunmasız sürümlerini günlüğe kaydetmek için kullanan herhangi bir Java uygulaması olabilir.

Bu yazılım binlerce kurumsal uygulamada ve web sitesinde kullanıldığından, yaygın saldırılara ve kötü amaçlı yazılım dağıtımına yol açacağı konusunda önemli endişeler var.

Kolayca yararlanılabilen bir uzaktan kod yürütme güvenlik açığı ifşa edildiğinde, bunu ilk kullanmaya başlayanlar genellikle kötü amaçlı yazılım dağıtıcıları olur.

JFrog güvenlik araştırması kıdemli direktörü Menashe, “Aralık başında ortaya çıkarılan Log4Shell güvenlik açığına benzer şekilde, JNDI aramalarına yayılan saldırgan kontrollü URL’ler, kimliği doğrulanmamış uzaktan kod yürütülmesine izin vererek, saldırganlara başka bir kişinin veya kuruluşun sistemlerinin çalışması üzerinde tek kontrol verebilir.” ,

Hata, 1.1.100 ila 2.0.204 arasındaki H2 veritabanı sürümlerini etkiler ve 5 Ocak 2022’de gönderilen 2.0.206 sürümünde giderilmiştir.

Menashe, “H2 veritabanı, Spring Boot, Play Framework ve JHipster dahil olmak üzere birçok üçüncü taraf çerçeve tarafından kullanılıyor” diye ekledi. “Bu güvenlik açığı Log4Shell kadar yaygın olmasa da, uygun şekilde ele alınmadığı takdirde geliştiriciler ve üretim sistemleri üzerinde hala dramatik bir etkisi olabilir.”

Bu makalemizi beğendiyseniz sizleri Log4Shell Güvenlik Açığı adlı makalemize bekleriz: https://www.ozztech.net/siber-guvenlik/log4shell-guvenlik-acigi/

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »