H2 データベースコンソールに脆弱性、Log4Shellと根本的な原因が類似

　JFrog Japan株式会社は1月7日、 H2 データベースコンソールの脆弱性（CVE-2021-42392）についてブログで公開した。

　H2 はオープンソースの Java SQL データベースで、データをディスクに保存する必要がない、軽量のインメモリ・ソリューションを提供している。

　JFrogでは本脆弱性について、Log4Shell（CVE-2021-44228）と根本的な原因が類似したクリティカルな問題ではあるが、下記よりLog4Shell ほどは広まらないと推測している。

1.Log4Shellとは異なり「直接的な」影響範囲がある
2.H2 データベースのバニラディストリビューションでは、デフォルトで H2 コンソールは localhost のみを待ち受けするよう安全な設定となっている
3.多くのベンダでは H2 データベースを実行していても、H2 コンソールを実行していない

　ただしLAN（または WAN）に公開されている H2 コンソールを実行している場合は、本脆弱性は極めてクリティカルとなり、H2 データベースをバージョン 2.0.206 にバージョンアップすることを推奨している。

　同ブログでは、H2 データベースで発見したリモートでの JNDI ルックアップのトリガを可能にする攻撃ベクタを紹介している。