「H2DB」にRCE脆弱性 - 「Log4Shell」と同じく「JNDI」に起因
「H2コンソール」を起動していない場合、影響は残るものの、脆弱性の悪用にはデータベースの管理者権限が必要となったり、「H2 Shell」において独自にコードを設定している必要があるなど、攻撃の難易度が高まるとしている。
2021年12月21日にリリースした「同2.0.204」および以前のバージョンに脆弱性は存在。報告を受けた「H2」の開発チームでは、LDAPのURL指定を禁止し、ローカルのデータソースのみを使用することで脆弱性に対処した「同2.0.206」を1月4日にリリースした。
最新版へのアップデートを呼びかけるとともに、信頼できない第三者に「H2コンソール」へのアクセスを制限する回避策を実施するようアナウンスを行っている。
(Security NEXT - 2022/01/11 )
ツイート
PR
関連記事
メール誤送信で会員のメアド流出 - 不動産ファンド運営会社
ファイル共有設定ミスで意図せずCC送信 - メアド閲覧可能に
個人情報含むPCで侵害確認、影響を調査 - 小樽商科大同窓会
ウェブ問合フォームの入力情報が外部流出 - 川本製作所
サーバに攻撃の痕跡、一部情報流出を確認 - 人材サービス事業者
フィッシング報告が減少、URLは9%増 - 4分の3超が独自ドメイン
2025年3Qのネット銀不正送金被害 - 件数、金額ベースともに7割減
2025年3Qクレカ番号盗用被害、3年ぶりに100億円を割り込む
Fortinet「FortiOS」既知脆弱性の悪用を確認 - 認証回避のおそれ
高校で1クラス分の出席簿が所在不明に - 神奈川県
