Im vergangenen Monat sorgte eine schwerwiegende Schwachstelle in der Java-Software Log4j für Schlagzeilen. Nun ist eine ähnliche Lücke im Code der H2-Datenbank aufgetaucht. Inzwischen wurde schon ein Update, das die Schwachstelle vollständig behebt, zur Verfügung gestellt.
Die Sicherheitslücke hat die Bezeichnung CVE-2021-42392 erhalten und wird durch das Java Naming and Directory Interface (JNDI) verursacht. Es handelt sich um den gleichen Mechanismus, der auch der Logging-Bibliothek Log4j zum Verhängnis wurde. Angreifer haben die Möglichkeit, URLs zum Laden von Schadcode an die Schnittstelle zu senden. Der Code wird anschließend ausgeführt, sodass ein Server-System vollständig übernommen werden kann.
Die H2-Software bringt eine eingebettete Web-Konsole mit sich, die eine Verwaltung der Datenbank ermöglicht. Mit Hilfe der Konsole haben Hacker die Option, eine manipulierte Anfrage an den Datenbank-Server zu senden und Malware zu starten. Die Auswirkungen der Sicherheitslücke dürften sich jedoch in Grenzen halten. Während Log4j als Hintergrund-Dienst in vielen Programmen verwendet wurde, betrifft die neue Schwachstelle Threatpost zufolge ausschließlich die Konsole der H2-Datenbank.
Wer ein H2-Datenbanksystem und die entsprechende Konsole verwendet, sollte die Software schnellstmöglich aktualisieren. Die Entwickler haben inzwischen einen Patch, der die Lücke schließt, bereitgestellt. Von der Schwachstelle sind die H2-Versionen 1.1.100 bis 2.0.204 betroffen. Der Bug wurde mit dem Build 2.0.206 behoben. Die neueste Version verhindert, dass LDAP-URLs für JNDI-Abfragen verwendet werden und schließt damit die Sicherheitslücke.
Anmelden
Im vergangenen Monat sorgte eine schwerwiegende Schwachstelle in der Java-Software Log4j für Schlagzeilen. Nun ist eine ähnliche Lücke im Code der H2-Datenbank aufgetaucht. Inzwischen wurde schon ein Update, das die Schwachstelle vollständig behebt, zur Verfügung gestellt.
Die Sicherheitslücke hat die Bezeichnung CVE-2021-42392 erhalten und wird durch das Java Naming and Directory Interface (JNDI) verursacht. Es handelt sich um den gleichen Mechanismus, der auch der Logging-Bibliothek Log4j zum Verhängnis wurde. Angreifer haben die Möglichkeit, URLs zum Laden von Schadcode an die Schnittstelle zu senden. Der Code wird anschließend ausgeführt, sodass ein Server-System vollständig übernommen werden kann.
