[Перевод] Дыра в безопасности, похожая на Log4Shell, обнаружена в популярном Java SQL движке базы данных H2
«Это Log4Shell, Джим, но не в том виде, в каком мы его знаем» — так никогда не говорил Commander Spock.
Это краткий обзор ошибки CVE-2021-42392, дыры в системе безопасности, о которой недавно сообщили исследователи из компании по управлению цепочками поставок программного обеспечения Jfrog.
На этот раз ошибка находится не в осажденном наборе инструментов Apache Log4j, а в популярном Java SQL сервере под названием H2 Database Engine.
H2 не похож на традиционную SQL систему, такую как MySQL или Microsoft SQL server.
Хотя вы можете запускать H2 как отдельный сервер для подключения других приложений, он главным образом известен из-за его скромных размеров и автономном характере работы.
В результате вы можете встраивать код H2 SQL базы данных прямо в свои собственные Java-приложения и запускать свои базы данных полностью в памяти без необходимости в отдельных серверных процессах.
Как и в случае с Log4j, это означает, что в вашей организации могут быть неявно запущенные экземпляры кода H2 Database Engine, если вы используете какие-либо приложения или компоненты разработки, которые сами по себе незаметно включают его.
Читать далееИсточник: Хабрахабр
Похожие новости
- Запущен ещё один бесплатный сервис для проверки текстов на соответствие закону об англицизмах
- Рейтинг Рунета выпустит первый рейтинг компаний, занимающихся продвижением в нейросетях
- SD-WAN + NGFW: почему разрыв между сетью и безопасностью обходится дорого
- Феномен OpenClaw: почему инженерная обвязка стала важнее нейросети
- «А трактор случайно не в залоге?» — история одной интеграции с ФЦИИТ
- Design by Contract в эпоху AI: как контракты Мейера защищают криптографию там, где тесты молчат
- Schnorr/MuSig2 Nonce-Forensics:
- SEBERD IT Base: почему я сделал ещё один сайт про кибербезопасность и зачем
- Приватная Cвязь на Go и Flutter
- Манифест созидателя