白菜网送体验金无需申请

安全征询东谈主员告戒称，一个最新的严重的Java诞妄，其本色与当今在公共范畴内愚弄的污名昭著的 Log4Shell 罅隙相通 。

CVE-2021-42392 尚未在国度罅隙数据库 (NVD) 中端庄发布，但据软件企业内JFrog 称，它影响了流行的H2 Java SQL 数据库的完好意思台。

这家安全公司指示，任何当今开动的浮现于其 LAN 或 WAN 的 H2 完好意思台的组织立行将数据库更新到 2.0.206 版块，不然挫折者可能会愚弄它进行未经身份考证的汉典代码执行 (RCE)。

与 Log4Shell 相似，该诞妄与 JNDI(Java 定名和目次接口)“汉典类加载”相干。JNDI 是一种为 Java 应用技术提供定名和目次功能的 API。这意味着若是挫折者不错将坏心 URL 取得到 JNDI 查找中白菜网送体验金无需申请，它就不错启用 RCE。

“简而言之，根蒂原因访佛于 Log4Shell——H2 数据库框架中的多个代码旅途将未历程滤的挫折者完好意思的 URL 传递给 javax.naming.Context.lookup 函数，该函数允许汉典代码库加载(AKA Java 代码注入 AKA汉典代码执行)，” JFrog 阐述谈。

“具体来说，org.h2.util.JdbcUtils.getConnection 程序以驱动类名和数据库 URL 行为参数。若是驱动技术的类可分拨给 javax.naming.Context 类，则该程序会从中实例化一个对象并调用其查找程序。”

提供诸如“javax.naming.InitialContext”之类的驱动技术类和像 ldap://attacker.com/Exploit 这么简短的 URL 将导致汉典代码执行。

说到他的名字可能有的人还反应不起来，但是提到他的角色那可是无人不知无人不晓，他就是战狼里的大毒枭，也是曹家大院中的孙茂才，其实他诠释过的角色非常的多，联系我们塑造的经典更是多不胜数，这一路走来他都是靠着自己实打实的演技。

JFrog 示意，该罅隙相配危境，因为 H2 数据库包相配受宽饶。该公司宣称，它是前 50 个最受宽饶的 Maven 软件包之一，领有近 7000 个工件依赖项。

关联词，有一些原因导致愚弄不会像 Log4Shell 那样等闲。一方面，它具有“径直影响范畴”，这意味着易受挫折的处事器应该更容易找到。其次，在大无数 H2 刊行版中，完好意思台只监听 localhost 连结，这意味着默许莳植是不行愚弄的。

“很多供应商可能正在开动 H2 数据库，但莫得开动 H2 完好意思台，天然除了完好意思台除外还有其他向量不错愚弄这个问题，但这些其他向量是依赖于落魄文的，不太可能浮现给汉典挫折者。”JFrog 补充谈。

 白菜网送体验金无需申请

• 白菜
• 出现
• 死的
• Java
• 罅隙