اخیراً یک آسیبپذیری مبتنی بر JNDI در کنسول پایگاه داده H2 شناسایی شده است که منشا آن مشابه منشا آسیبپذیری Log4Shell در کتابخانه Log4j است. به گفتهی محققان امنیتی این آسیبپذیری با شناسه CVE-2021-42392 شناخته میشود و امکان اجرای کد از راه دور را برای مهاجم احراز هویت نشده فراهم میکند.
پایگاه داده H2 یک سیستم مدیریت پایگاه داده رابطهای و یک پروژه متن باز است که به زبان جاوا توسعه داده شده و میتواند در برنامههای کاربردی تعبیه و یا در حالت کلاینت-سرور اجرا شود.
این آسیبپذیری در نسخههای 1.1.100 تا 2.0.204 این محصول وجود دارد. توصیه میشود نسخهی پایگاه داده H2 مورد استفاده خود را به 2.0.206 ارتقا دهید. درصورت عدم امکان ارتقای نسخه، توصیه میگردد از نسخههای جاوا (JRE/JDK) زیر (یا نسخههای جدیدتر) که مخاطرات ناشی از این آسیبپذیری را کاهش میدهند (به عنوان راهکار موقت)، استفاده کنید:
- 6u211
- 7u201
- 8u191
- 11.0.1
منابع:
https://jfrog.com/blog/the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console/
https://www.h2database.com/html/main.html
https://github.com/h2database/h2database/releases/tag/version-2.0.206
- 377