H2 データベースコンソールに脆弱性、Log4Shellと根本的な原因が類似 | ScanNetSecurity
2025.10.04(土)

H2 データベースコンソールに脆弱性、Log4Shellと根本的な原因が類似

 JFrog Japan株式会社は1月7日、 H2 データベースコンソールの脆弱性(CVE-2021-42392)についてブログで公開した。

脆弱性と脅威 セキュリティホール・脆弱性

 JFrog Japan株式会社は1月7日、 H2 データベースコンソールの脆弱性(CVE-2021-42392)についてブログで公開した。

 H2 はオープンソースの Java SQL データベースで、データをディスクに保存する必要がない、軽量のインメモリ・ソリューションを提供している。

 JFrogでは本脆弱性について、Log4Shell(CVE-2021-44228)と根本的な原因が類似したクリティカルな問題ではあるが、下記よりLog4Shell ほどは広まらないと推測している。

1.Log4Shellとは異なり「直接的な」影響範囲がある
2.H2 データベースのバニラディストリビューションでは、デフォルトで H2 コンソールは localhost のみを待ち受けするよう安全な設定となっている
3.多くのベンダでは H2 データベースを実行していても、H2 コンソールを実行していない

 ただしLAN(または WAN)に公開されている H2 コンソールを実行している場合は、本脆弱性は極めてクリティカルとなり、H2 データベースをバージョン 2.0.206 にバージョンアップすることを推奨している。

 同ブログでは、H2 データベースで発見したリモートでの JNDI ルックアップのトリガを可能にする攻撃ベクタを紹介している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

    アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

ランキングをもっと見る
PageTop