「H2DB」にRCE脆弱性 - 「Log4Shell」と同じく「JNDI」に起因
「H2コンソール」を起動していない場合、影響は残るものの、脆弱性の悪用にはデータベースの管理者権限が必要となったり、「H2 Shell」において独自にコードを設定している必要があるなど、攻撃の難易度が高まるとしている。
2021年12月21日にリリースした「同2.0.204」および以前のバージョンに脆弱性は存在。報告を受けた「H2」の開発チームでは、LDAPのURL指定を禁止し、ローカルのデータソースのみを使用することで脆弱性に対処した「同2.0.206」を1月4日にリリースした。
最新版へのアップデートを呼びかけるとともに、信頼できない第三者に「H2コンソール」へのアクセスを制限する回避策を実施するようアナウンスを行っている。
(Security NEXT - 2022/01/11 )
ツイート
PR
関連記事
イベント申込フォームで個人情報が閲覧可能に - 涌谷町
市教委会議資料の個人情報にマスキング不備 - 川崎市
土木事務所で戸籍謄本などが所在不明 - 高知県
「Node.js」に重要度「高」の脆弱性 - 更新を予告
「SimpleHelp」に認証回避の脆弱性 - 管理操作が可能に
「Apache CXF」に複数の脆弱性 - 修正版が公開
先週注目された記事(2026年6月7日〜2026年6月13日)
「Oracle PeopleSoft」脆弱性、ランサム攻撃にも悪用 - 米当局が注意喚起
利用者の電話番号含む業務用携帯を紛失 - 地生いなわしろ
研究室端末でランサム被害、手術動画が流出か - 九大
