Vulnerabilitatea din Apache Derby permite ocolirea autentificării

O vulnerabilitate critică de securitate (CVE-2022-46337) în Apache Derby, o bază de date relațională open-source implementată integral în Java, a expus sistemele la atacuri de ocolire a autentificării prin injectarea LDAP.

Vulnerabilitatea, evaluată cu scor CvSS de 9.1/10, permite atacatorilor să creeze nume de utilizator malițioase care ocolesc verificările de autentificare LDAP, putând acorda acces neautorizat la date sensibile și funcții ale bazei de date.

Vulnerabilitatea provine din verificarea necorespunzătoare a elementelor speciale din interogările LDAP (CWE-74), o eroare de injectare comună care apare atunci când datele de intrare ale utilizatorului nu sunt analizate înainte de a fi procesate de componentele de tip downstream.

În versiunile Apache Derby configurate pentru a utiliza LDAP pentru autentificare, atacatorii pot exploata această problemă prin trimiterea unui nume de utilizator special conceput.

Vulnerabilitatea afectează în mod expres versiunile Apache Derby 10.1.1.0 până la 10.14.3.0, 10.15.1.3 până la 10.15.2.1 și 10.16.1.1.

În plus, produsele IBM care includ versiunile vulnerabile ale Derby – inclusiv TXSeries for Multiplatforms (versiunile 8.1, 8.2, 9.1, 10.1) și Spectrum Control (5.4.0-5.4.11) – le afectează.

Apache Software Foundation recomandă actualizarea la Derby 10.17.1.0 împreună cu Java 21 pentru o protecție completă.

Organizațiile care nu pot migra imediat pot efectua backportul remedierilor de securitate către variantele Derby 10.16, 10.15 și 10.14, care se potrivesc cu versiunile Java LTS 17, 11 și, respectiv, 8.

IBM a lansat patch-uri pentru produsele sale afectate:

TXSeries for Multiplatforms 9.1/10.1;
TXSeries 8.1/8.2;
Spectrum Control 5.4.x: Actualizați la versiunea 5.4.12 și eliminați manual fișierele vulnerabile derby.jar/derbytools.jar.

În special, IBM Business Automation Workflow Containers (v23.0.2) includ Derby, dar rămân neafectate în configurațiile compatibile, deoarece componenta nu interacționează cu LDAP în fluxurile de producție.

Sursă: https://cybersecuritynews.com/apache-derby-bypass-authentication/

Vulnerabilitatea din Apache Derby permite ocolirea autentificării

Festivitatea de premiere a participanților la exercițiul CyberMAN25

Exercițiul CyberMAN25

Locked Shields 2025 – exercițiu NATO de apărare cibernetică

Exercițiul NATO de apărare cibernetică Cyber Coalition 2024

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

Vulnerabilitate critică identificată în Juniper Networks PTX

Trend Micro avertizează asupra unor vulnerabilități în Apex One

PoC lansat pentru o vulnerabilitate din Windows

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

Vulnerabilitate critică identificată în Juniper Networks PTX

Trend Micro avertizează asupra unor vulnerabilități în Apex One

PoC lansat pentru o vulnerabilitate din Windows

Ai mai putea citi