【漏洞通告】H2数据库控制台远程代码执行漏洞(CVE-2021-42392)
发布时间 2022-01-100x00 漏洞概述
2022年1月6日,研究人员公开披露了在 H2 数据库控制台中发现的类似 Log4Shell 的关键 RCE 漏洞,该漏洞追踪为CVE-2021-42392。
0x01 漏洞详情
H2是一个流行的开源Java SQL数据库,它提供了一个轻量级的内存解决方案,不需要将数据存储在磁盘上,这使得它成为各种项目的流行数据存储解决方案。
近日,JFrog 安全研究团队披露了H2 数据库控制台中的远程代码执行漏洞CVE-2021-42392,该漏洞与Apache Log4j RCE漏洞CVE-2021-44228漏洞的根本原因相同,即JNDI 远程类加载。
JNDI是Java Naming and Directory Interface的缩写,是指为Java应用程序提供命名和目录功能的API,它可以结合LDAP使用API来定位可能需要的特定资源。
由于H2数据库框架中的几个代码路径将未经过滤的攻击者控制的URL传递给javax.naming.Context.lookup函数,导致远程代码库加载(也称Java代码注入),最终造成未经身份验证的远程代码执行。
该漏洞影响 H2 数据库版本1.1.100(2008-10-14)到2.0.204(2021-12-21),并已在2022 年 1 月 5 日发布的版本 2.0.206 中修复。
H2 数据库被许多第三方框架使用,如Spring Boot、Play Framework 和 JHipster等。虽然CVE-2021-42392不像CVE-2021-44228那样普遍,但如果不及时修复,它仍然会对开发人员和生产系统产生巨大影响。
0x02 风险等级
高危。
0x03 影响范围
1.1.100<=H2 Console<=2.0.204
0x04 安全建议
目前此漏洞已经修复,建议所有 H2 数据库用户升级到版本 2.0.206,即使不直接使用 H2 控制台。
下载链接:
https://github.com/h2database/h2database/releases/tag/version-2.0.206
缓解措施
对于目前无法升级H2的用户,可以选择使用以下缓解方案:
1.与CVE-2021-44228漏洞类似,较新版本的Java包含trustURLCodebase缓解措施,不允许通过JNDI加载远程代码库。用户可以升级Java(JRE/JDK)版本以启用该缓解措施,在以下 Java 版本(或更高版本)上默认启用此缓解措施(但此方法也可能被绕过):
l 6u211
l 7u201
l 8u191
l 11.0.1
2.当H2 console Servlet部署在 Web 服务器上时(不使用独立的 H2 Web 服务器),可以添加一个安全约束,仅允许特定用户访问控制台页面。
注:H2 Console默认不接受远程连接。如果明确启用了远程访问并且未设置某些保护方法(如安全约束),则攻击者可以加载自己的自定义类并在具有H2 Console的进程( H2 Server process 或具有 H2 Console servlet 的 Web 服务器)中执行其代码。
也可以通过在这些版本中创建链接表来加载它们,但这需要ADMIN权限,并且具有ADMIN权限的用户在设计上可以完全访问 Java 进程。因此这些权限不应授予不受信任的用户。
0x05 参考链接
https://jfrog.com/blog/the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console/
https://thehackernews.com/2022/01/log4shell-like-critical-rce-flaw.html
http://securityaffairs.co/wordpress/126460/security/unauthenticated-rce-h2-database.html?
0x06 版本信息
版本 | 日期 | 修改内容 |
V1.0 | 2022-01-10 | 首次发布 |
0x07 附录
公司简介
启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。
公司总部位于北京市中关村软件园,在全国各省、市、自治区设有分支机构,拥有覆盖全国的渠道体系和技术支持中心,并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯: