H2 Databaseのコンソールにリモートコード実行可能な脆弱性(CVE-2021-42392)
2022年1月6日(現地時間)セキュリティ企業JFrogの研究チームによって、Javaオープンソースデータベース「H2 Database」のコンソールでリモートコード実行可能の脆弱性(CVE-2021-42392)が確認されました。
問題の根本はLog4jの脆弱性「Log4Shell」と同じです。
情報ソース
脆弱性の対象
- H2 Databaseのコンソールを実行しているサーバー
特にWANでコンソールを実行しているサーバーは直接攻撃を受ける可能性があります。
脆弱性の詳細
攻撃者がH2 JNDI remote classの読み込み機能を悪用し、リモートで悪意のあるコードを実行できる可能性があります。
H2 Databaseのコンソールのフレームワーク内の複数のコードが、攻撃者が細工したURLをそのままjavax.naming.Context.lookup関数に渡すことで、結果としてリモートで任意のコードが実行される可能性があります。
解決方法
最新のアップデートを適用する
最新バージョン2.0.206にアップデートすることでこの脆弱性の修正が適用されます。
研究者は、他の攻撃方法が存在する可能性があるため、H2 Databaseをインストールしている全てのサーバーのアップデートを推奨しています。
▼以下のリンクよりダウンロードが可能です。