关于h2数据库控制台远程代码执行漏洞(cve-7411威尼斯

 关于h2数据库控制台远程代码执行漏洞(cve-7411威尼斯
网络安全
关于h2数据库控制台远程代码执行漏洞(cve-2021-42392)的预警提示
  陆晔   发布日期:2022-01-21

一、漏洞详情

h2是一个流行的开源java sql数据库,它提供了一个轻量级的内存澳门官方直营威尼斯的解决方案。

近日披露h2数据库控制台中的远程代码执行漏洞cve-2021-42392,该漏洞与apache log4j rce漏洞cve-2021-44228漏洞的根本原因相同,即jndi远程类加载。jndi是java naming and directory interface的缩写,是指为java应用程序提供命名和目录功能的api,它可以结合ldap使用api来定位可能需要的特定资源。

由于h2数据库框架中的几个代码路径将未经过滤的攻击者控制的url传递给javax.naming.context.lookup函数,导致远程代码库加载(也称java代码注入),最终造成未经身份验证的远程代码执行。

该漏洞影响h2数据库版本1.1.100(2008-10-14)到2.0.204(2021-12-21),并已在2022年1月5日发布的版本2.0.206中修复。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

1.1.100<=h2 console<=2.0.204

三、修复建议

目前此漏洞已经修复,建议所有h2数据库用户升级到版本2.0.206,即使不直接使用h2控制台。

下载链接:https://github.com/h2database/h2database/releases/tag/version-2.0.206

澳门官方直营威尼斯的技术支持:7411威尼斯-澳门官方直营威尼斯

校内备案号:jw备170019

地址:江苏省无锡市蠡湖大道1800号

邮编:214122

联系电话:0510-85916979(16979),85912032(82032)(网络报修)

服务邮箱:netser@jiangnan.edu.cn

网站地图