HyperSQL數(shù)據(jù)庫(HSQLDB) 遠程代碼執(zhí)行漏洞預警（CVE-2022-41853）

2022-10-27

一、概要

近日，華為云關注到業(yè)界有安全研究人員披露HyperSQL數(shù)據(jù)庫(HSQLDB) 存在一處嚴重級別的遠程代碼執(zhí)行漏洞（CVE-2022-41853）。默認情況下HyperSQL的SQL語句可以調(diào)用class路徑中的Java類的任意靜態(tài)方法，當java.sql.Statement和java.sql.PreparedStatement解析不可信的二進制或文本格式數(shù)據(jù)時可能會導致遠程代碼執(zhí)行。

HSQLDB是一款使用java語言編寫的開源關系數(shù)據(jù)庫。華為云提醒使用HSQLDB的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.code-intelligence.com/blog/potential-remote-code-execution-in-hsqldb

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急） 

三、漏洞影響范圍

影響版本：

hsqldb < 2.7.1

安全版本：

hsqldb 2.7.1

四、漏洞處置

目前官方已在2.7.1版本中修復了該漏洞，請受影響的用戶升級至安全版本：

http://hsqldb.org/

華為云WAF具備對該漏洞的防御能力。華為云WAF用戶將“Web基礎防護”狀態(tài)設置為“攔截”模式，具體方法請參見配置Web基礎防護規(guī)則。

注：修復漏洞前請將資料備份，并進行充分測試。