GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】H2数据库节造台远程代码执行缝隙（CVE-2021-42392）

颁布功夫 2022-01-10

0x00 缝隙概述

2022年1月6日，钻研人员公开披露了在 H2 数据库节造台中发现的类似 Log4Shell 的关键 RCE 缝隙，该缝隙追踪为CVE-2021-42392。

0x01 缝隙详情

H2是一个盛行的开源Java SQL数据库，它提供了一个轻量级的内存解决规划，不必要将数据存储在磁盘上，这使得它成为各类项主张盛行数据存储解决规划。

近日，JFrog 安全钻研团队披露了H2 数据库节造台中的远程代码执行缝隙CVE-2021-42392，该缝隙与Apache Log4j RCE缝隙CVE-2021-44228缝隙的底子原因一样，即JNDI 远程类加载。

JNDI是Java Naming and Directory Interface的缩写，是指为Java利用法式提供定名和目录职能的API，它能够结合LDAP使用API来定位可能必要的特定资源。

由于H2数据库框架中的几个代码蹊径将未经过滤的攻击者节造的URL传递给javax.naming.Context.lookup函数，导致远程代码库加载（也称Java代码注入），最终造成未经身份验证的远程代码执行。

该缝隙影响 H2 数据库版本1.1.100（2008-10-14）到2.0.204（2021-12-21），并已在2022 年 1 月 5 日颁布的版本 2.0.206 中建复。

H2 数据库被很多第三方框架使用，如Spring Boot、Play Framework 和 JHipster等。固然CVE-2021-42392不像CVE-2021-44228那样普遍，但若是不实时建复，它依然会对开发人员和出产系统产生巨大影响。

0x02 风险等级

高危。

0x03 影响领域

1.1.100<=H2 Console<=2.0.204

0x04 安全建议

目前此缝隙已经建复，建议所有 H2 数据库用户升级到版本 2.0.206，即便不直接使用 H2 节造台。

下载链接：

https://github.com/h2database/h2database/releases/tag/version-2.0.206

缓解措施

对于目前无法升级H2的用户，能够选择使用以下缓解规划：

1.与CVE-2021-44228缝隙类似，较新版本的Java蕴含trustURLCodebase缓解措施，不允许通过JNDI加载远程代码库。用户能够升级Java（JRE/JDK）版本以启用该缓解措施，在以下 Java 版本（或更高版本）上默认启用此缓解措施（但此步骤也可能被绕过）：

l 6u211

l 7u201

l 8u191

l 11.0.1

2.当H2 console Servlet部署在 Web 服务器上时（不使用独立的 H2 Web 服务器），能够增长一个安全约束，仅允许特定用户接见节造台页面。

注：H2 Console默认不接受远程衔接。若是明确启用了远程接见并且未设置某些�；げ街瑁ㄈ绨踩际�，则攻击者能够加载自己的自界说类并在拥有H2 Console的过程（ H2 Server process 或拥有 H2 Console servlet 的 Web 服务器）中执行其代码。

也能够通过在这些版本中创建链接表来加载它们，但这必要ADMIN权限，并且拥有ADMIN权限的用户在设计上能够齐全接见 Java 过程。因而这些权限不应授予不受信赖的用户。

0x05 参考链接

https://jfrog.com/blog/the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console/

https://thehackernews.com/2022/01/log4shell-like-critical-rce-flaw.html

http://securityaffairs.co/wordpress/126460/security/unauthenticated-rce-h2-database.html?

0x06 版本信息

版本	日期	批改内容
V1.0	2022-01-10	初次颁布

0x07 附录

GA黄金甲简介

GA黄金甲公司成立于1996年，并于2010年6月23日在深交所中幼板正式挂牌上市，是国内极具实力的、占有齐全自主知识产权的网络安全产品、可信安全治理平台、安全服务与解决规划的综合提供商。

公司总部位于北京市中关村软件园，在全国各省、视注自治区设有分支机构，占有覆盖全国的渠路系统和技术支持中心，并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。

多年来，GA黄金甲致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务，援手客户全面提升其IT基础设施的安全性和出产效力，为打造和提升国际化的民族信息安全产业领军品牌而不懈致力。

关于GA黄金甲

GA黄金甲安全应急响应中心重要针对沉要安全缝隙的预警、跟踪和分享全球最新的威胁谍报和安全汇报。

关注以下公家号，获取全球最新安全资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】