H2 データベースコンソールに脆弱性、Log4Shellと根本的な原因が類似 | ScanNetSecurity
2025.10.25(土)

H2 データベースコンソールに脆弱性、Log4Shellと根本的な原因が類似

 JFrog Japan株式会社は1月7日、 H2 データベースコンソールの脆弱性(CVE-2021-42392)についてブログで公開した。

脆弱性と脅威 セキュリティホール・脆弱性

 JFrog Japan株式会社は1月7日、 H2 データベースコンソールの脆弱性(CVE-2021-42392)についてブログで公開した。

 H2 はオープンソースの Java SQL データベースで、データをディスクに保存する必要がない、軽量のインメモリ・ソリューションを提供している。

 JFrogでは本脆弱性について、Log4Shell(CVE-2021-44228)と根本的な原因が類似したクリティカルな問題ではあるが、下記よりLog4Shell ほどは広まらないと推測している。

1.Log4Shellとは異なり「直接的な」影響範囲がある
2.H2 データベースのバニラディストリビューションでは、デフォルトで H2 コンソールは localhost のみを待ち受けするよう安全な設定となっている
3.多くのベンダでは H2 データベースを実行していても、H2 コンソールを実行していない

 ただしLAN(または WAN)に公開されている H2 コンソールを実行している場合は、本脆弱性は極めてクリティカルとなり、H2 データベースをバージョン 2.0.206 にバージョンアップすることを推奨している。

 同ブログでは、H2 データベースで発見したリモートでの JNDI ルックアップのトリガを可能にする攻撃ベクタを紹介している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

  5. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

ランキングをもっと見る
PageTop