Перейти к содержимому

Уязвимость LDAP Injection в Apache Derby – серьезное предупреждение для разработчиков и администраторов системной безопасности

Apache Derby – это система управления базами данных с открытым исходным кодом, полностью реализованная на языке Java, которая используется во многих приложениях и сервисах. Однако недавно выявленная уязвимость CVE-2022-46337 поставила под угрозу системы, основанные на этой платформе. Данная уязвимость позволяет злоумышленникам обходить аутентификацию с помощью атаки LDAP Injection (внедрение вредоносных запросов в LDAP).

Проблема CVE-2022-46337 возникает из-за некорректной нейтрализации специальных символов в LDAP-запросах (CWE-74). Это означает, что данные, вводимые пользователем, не проходят достаточную проверку и могут быть изменены таким образом, чтобы обойти процедуру аутентификации. В результате злоумышленник может использовать специально сформированное имя пользователя для незаконного доступа в систему.

Эта уязвимость получила оценку 9.1 балла по шкале CVSS (Common Vulnerability Scoring System), что говорит о ее высокой степени опасности. В случае успешной эксплуатации возможны следующие риски:

  • Злоумышленник может создавать неограниченное количество баз данных, тем самым заполняя дисковое пространство.
  • Возможность выполнения произвольного кода с привилегиями процесса сервера Apache Derby.
  • Доступ, изменение или кража данных из баз данных, если в них не настроены механизмы SQL GRANT/REVOKE.
  • Запуск привилегированных функций и процедур, что может привести к дополнительным компрометациям сервера.

Версии Apache Derby, подверженные уязвимости:

  • 10.1.1.0 – 10.14.3.0
  • 10.15.1.3 – 10.15.2.1
  • 10.16.1.1

Кроме того, некоторые продукты IBM также затронуты этой уязвимостью:

  • TXSeries for Multiplatforms: версии 8.1, 8.2, 9.1, 10.1
  • IBM Spectrum Control: версии с 5.4.0 по 5.4.11

Важно отметить, что IBM Business Automation Workflow Containers (v23.0.2) хоть и использует Apache Derby, но не подвержен уязвимости в стандартной конфигурации, так как компонент не взаимодействует с LDAP в рабочих процессах.

Фонд Apache Software Foundation рекомендует принять следующие меры для защиты от этой уязвимости:

  • Обновить Apache Derby до последней версии 10.17.1.0 и использовать Java 21.
  • Если немедленное обновление невозможно, следует применить патчи безопасности для версий 10.14, 10.15 и 10.16.
  • В системах аутентификации LDAP необходимо обеспечить строгую валидацию входных данных и предотвращать ввод специальных символов в учетных данных пользователей.

Рекомендации для пользователей IBM:

  • TXSeries for Multiplatforms 9.1/10.1 – установить исправления через IBM Fix Central.
  • TXSeries 8.1/8.2 – при наличии расширенной поддержки запросить исправления через Salesforce.
  • IBM Spectrum Control 5.4.x – обновиться до версии 5.4.12 и вручную удалить уязвимые файлы derby.jar и derbytools.jar.

Уязвимость LDAP Injection представляет собой серьезную угрозу для пользователей Apache Derby, поскольку позволяет злоумышленникам обходить системы аутентификации и получать привилегированный доступ. Особенно важно устранить уязвимость, если эта база данных используется в корпоративных системах или в средах с повышенными требованиями к безопасности.

Для эффективной защиты рекомендуется незамедлительно устанавливать официальные исправления от Apache и IBM, а также дополнительно усиливать безопасность LDAP-запросов. Любая уязвимость в системе аутентификации может стать потенциальной точкой входа для атак, поэтому регулярный аудит безопасности и своевременное устранение уязвимостей крайне важны.