Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향H2 데이터베이스 콘솔에서 Log4Shell과 같은 치명적인 RCE 결함 발견
작성일 2022-01-10 조회 1895

 


연구진은 지난 달 밝혀진 Log4j "Log4Shell" 취약점을 반영하는 방식으로 원격 코드를 실행할 수 있는 H2 데이터베이스 콘솔의 보안 결함을 공개했다.


CVE-2021-42392로 추적되는 이 문제는 "Log4Shell 이후 Log4j 이외의 구성 요소에서 처음으로 Log4Shell 취약점의 근본 원인인 JNDI 원격 클래스 로딩을 동일하게 악용하는 중요한 문제"라고 JFrog 연구진이 말했다.


H2는 Java로 작성된 오픈소스 관계형 데이터베이스 관리 시스템으로 애플리케이션 내에 내장되거나 클라이언트-서버 모드로 실행할 수 있으며, Maven Repository에 따르면 H2 데이터베이스 엔진은 6,807점의 아티팩트에서 사용하고 있다.


JNDI는 Java Naming and Directory Interface의 약자로, LDAP와 함께 API를 사용하여 필요한 특정 자원을 찾을 수 있는 Java 애플리케이션의 이름 지정 및 디렉토리 기능을 제공하는 API를 말한다.

 

 

 

[그림 1. CVE-2021-42392 공격 흐름]

 

 

Log4Shell의 경우, 이 기능은 네트워크 내외부의 서버에 대한 런타임 조회를 가능하게 하고, Log4j 라이브러리의 취약한 버전을 사용하는 Java 응용프로그램에 대한 입력으로 악의적인 JNDI 조회를 조작하여 서버에 인증되지 않은 원격 코드 실행을 허용하고 악성코드를 삽입할 수 있도록 무기화할 수 있다.


JFrog 보안 리서치 책임자는 "12월 초에 발견된 Log4Shell 취약점과 유사하게 JNDI 조회로 전파되는 공격자 제어 ​​URL은 인증되지 않은 원격 코드 실행을 허용하여 공격자가 다른 사람이나 조직의 시스템 운영에 대한 단독으로 제어할 수 있게 할 수 있다"고 설명했다.


이 결함은 H2 데이터베이스 버전 1.1.100 ~ 2.0.204에 영향을 미치며 2022년 1월 5일 출시된 버전 2.0.206에서 해결되었다.


연구원은 "H2 데이터베이스는 Spring Boot, Play Framework 및 JHipster를 포함한 많은 타사 프레임워크에서 사용되고 있으며, 이 취약점이 Log4Shell만큼 널리 퍼져 있지는 않지만 적절하게 해결되지 않으면 개발자와 프로덕션 시스템에 큰 영향을 미칠 수 있다"고 덧붙였다.

 

 

 

출처
https://thehackernews.com/2022/01/log4shell-like-critical-rce-flaw.html

첨부파일 첨부파일이 없습니다.
태그 JNDI  Log4Shell  H2  CVE-2021-42392