H2 Databaseのコンソールにリモートコード実行可能な脆弱性(CVE-2021-42392)

サーバー
Java SQLデータベース H2コンソールに未認証のリモートコード実行可能な脆弱性(CVE-2021-42392)

2022年1月6日(現地時間)セキュリティ企業JFrogの研究チームによって、Javaオープンソースデータベース「H2 Database」のコンソールでリモートコード実行可能の脆弱性(CVE-2021-42392)が確認されました。

問題の根本はLog4jの脆弱性「Log4Shell」と同じです。

情報ソース

CVE – CVE-2021-42392
JFrog – The JNDI Strikes Back – Unauthenticated RCE in H2 Database Console

脆弱性の対象

  • H2 Databaseのコンソールを実行しているサーバー

特にWANでコンソールを実行しているサーバーは直接攻撃を受ける可能性があります。

脆弱性の詳細

攻撃者がH2 JNDI remote classの読み込み機能を悪用し、リモートで悪意のあるコードを実行できる可能性があります。

H2 Databaseのコンソールのフレームワーク内の複数のコードが、攻撃者が細工したURLをそのままjavax.naming.Context.lookup関数に渡すことで、結果としてリモートで任意のコードが実行される可能性があります。

解決方法

解決方法

最新のアップデートを適用する

最新バージョン2.0.206にアップデートすることでこの脆弱性の修正が適用されます。

研究者は、他の攻撃方法が存在する可能性があるため、H2 Databaseをインストールしている全てのサーバーのアップデートを推奨しています。

▼以下のリンクよりダウンロードが可能です。

H2 Database Engine