H2 SQL | Vulnérabilité critique dans la console de base de données

par Jean-Luc Doumont – Doumont 360 (Relations publiques et gestion de crise)

Les administrateurs informatiques disposant de la base de données H2 SQL (open source) basée sur Java dans leurs environnements sont invités à mettre à jour vers la dernière version après la découverte d’une vulnérabilité « extrêmement critique » dans sa console.

Les chercheurs de JFrog ont déclaré que la vulnérabilité – CVE-2021-42392 – a la même cause fondamentale que la vulnérabilité Log4Shell dans Apache Log4j2 : une faille dans l’interface Java Naming and Directory (JDNI) qui pourrait permettre un accès de contrôle à distance non authentifié. Dans ce cas, il s’agit de la console de base de données H2.

L’alerte recommande aux administrateurs informatiques de mettre immédiatement à jour vers la dernière version de H2, la version 2.0.206. Les implémentations qui exposent une console H2 à un réseau local ou étendu courent un grand risque.

L’alerte note également que certains outils de développement d’applications utilisent des bases de données H2 qui exposent la console H2. Ces outils pourraient risquer de propager des logiciels malveillants par le biais d’attaques, avertissent les chercheurs, une autre raison pour laquelle leurs bases de données devraient être mises à jour.

Les chercheurs ajoutent que la vulnérabilité dans H2 ne devrait pas être aussi répandue que Log4Shell, car contrairement à ce dernier, cette vulnérabilité a un impact « direct ». Cela signifie que généralement le serveur qui traite la demande initiale (la console H2) sera le serveur qui sera impacté par RCE. Ceci est moins grave par rapport à Log4Shell, car les serveurs vulnérables devraient être plus faciles à trouver.