RCE-Schwachstelle – ähnlich wie log4j – in H2 (Java) Datenbanksystem entdeckt

Publiziert am 8. Januar 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher haben eine Remote Code Execution (RCE) Schwachstelle in der H2-Datenbank-Konsole entdeckt, die an die kürzlich entdeckte JAVA-Schwachstelle log4j erinnert. Inzwischen haben die Entwickler der H2-Datenbank-Konsole ein Sicherheitsupdate freigegeben, welches diese Schwachstelle schließt.

Anzeige

H2 ist ein in Java geschriebenes relationales Open-Source-Datenbankmanagementsystem, das in Anwendungen eingebettet oder in einem Client-Server-Modus ausgeführt werden kann. H2 bietet eine leichtgewichtige In-Memory-Lösung, bei der die Daten nicht auf der Festplatte gespeichert werden müssen.

Daher ist H2 eine beliebte Datenspeicherlösung für verschiedene Projekte, von Webplattformen wie Spring Boot bis hin zu IoT-Plattformen wie ThingWorks. Das com.h2database:h2-Paket ist Teil der Top 50 der beliebtesten Maven-Pakete mit fast 7000 Artefakt-Abhängigkeiten.

Die Schwachstelle CVE-2021-42392

Ein Nutzer hat vor einigen Stunden im Diskussionsbereich dieses Blogs auf die Veröffentlichung The JNDI Strikes Back – Unauthenticated RCE in H2 Database Console der JFrog-Sicherheitsforscher Andrey Polkovnychenko und Shachar Menashe hingewiesen. Die Schwachstelle betrifft das JNDI, eine Abkürzung für Java Naming and Directory Interface. Es handelt sich um einen Bezug auf eine API, die Benennungs- und Verzeichnisfunktionen für Java-Anwendungen bereitstellt, die die API in Verbindung mit LDAP verwenden können, um eine bestimmte Ressource zu finden, die sie benötigen könnten.

Das ist im Grunde der gleiche Mechanismus, der log4j zum Verhängnis wurde. Die H2-Datenbank enthält eine eingebettete webbasierte Konsole, die eine einfache Verwaltung der Datenbank ermöglicht. Sie ist standardmäßig auf http://localhost:8082 verfügbar, wenn Sie das H2-Paket JAR -Paket ausführen. Menashe, Senior Director der JFrog-Sicherheitsforschung, erklärt dazu:

Similar to the Log4Shell vulnerability uncovered in early December, attacker-controlled URLs that propagate into JNDI lookups can allow unauthenticated remote code execution, giving attackers sole control over the operation of another person or organization's systems.

Angreifer können die H2-Datenbank also über deren Console angreifen, indem sie dieser URLs zum Laden von Code über das JNDI Lookup-Interface schicken. Der Fehler betrifft die H2-Datenbankversionen 1.1.100 bis 2.0.204 und wurde in Version 2.0.206 vom 5. Januar 2022 behoben. Seit Version 2.0.206 verbieten H2 Console und verknüpfte Tabellen ausdrücklich die Angabe von LDAP-URLs für JNDI. Es können nur lokale Datenquellen verwendet werden.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.