一、漏洞详情
h2是一个流行的开源java sql数据库,它提供了一个轻量级的内存澳门官方直营威尼斯的解决方案。
近日披露h2数据库控制台中的远程代码执行漏洞cve-2021-42392,该漏洞与apache log4j rce漏洞cve-2021-44228漏洞的根本原因相同,即jndi远程类加载。jndi是java naming and directory interface的缩写,是指为java应用程序提供命名和目录功能的api,它可以结合ldap使用api来定位可能需要的特定资源。
由于h2数据库框架中的几个代码路径将未经过滤的攻击者控制的url传递给javax.naming.context.lookup函数,导致远程代码库加载(也称java代码注入),最终造成未经身份验证的远程代码执行。
该漏洞影响h2数据库版本1.1.100(2008-10-14)到2.0.204(2021-12-21),并已在2022年1月5日发布的版本2.0.206中修复。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
1.1.100<=h2 console<=2.0.204
三、修复建议
目前此漏洞已经修复,建议所有h2数据库用户升级到版本2.0.206,即使不直接使用h2控制台。
下载链接:https://github.com/h2database/h2database/releases/tag/version-2.0.206