H2 データベースコンソールに脆弱性、Log4Shellと根本的な原因が類似 | ScanNetSecurity
2024.03.19(火)

H2 データベースコンソールに脆弱性、Log4Shellと根本的な原因が類似

 JFrog Japan株式会社は1月7日、 H2 データベースコンソールの脆弱性(CVE-2021-42392)についてブログで公開した。

脆弱性と脅威 セキュリティホール・脆弱性

 JFrog Japan株式会社は1月7日、 H2 データベースコンソールの脆弱性(CVE-2021-42392)についてブログで公開した。

 H2 はオープンソースの Java SQL データベースで、データをディスクに保存する必要がない、軽量のインメモリ・ソリューションを提供している。

 JFrogでは本脆弱性について、Log4Shell(CVE-2021-44228)と根本的な原因が類似したクリティカルな問題ではあるが、下記よりLog4Shell ほどは広まらないと推測している。

1.Log4Shellとは異なり「直接的な」影響範囲がある
2.H2 データベースのバニラディストリビューションでは、デフォルトで H2 コンソールは localhost のみを待ち受けするよう安全な設定となっている
3.多くのベンダでは H2 データベースを実行していても、H2 コンソールを実行していない

 ただしLAN(または WAN)に公開されている H2 コンソールを実行している場合は、本脆弱性は極めてクリティカルとなり、H2 データベースをバージョン 2.0.206 にバージョンアップすることを推奨している。

 同ブログでは、H2 データベースで発見したリモートでの JNDI ルックアップのトリガを可能にする攻撃ベクタを紹介している。

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×