Avis du CERT-FR

Objet: Vulnérabilité dans la base de données H2

Gestion du document

Référence	CERTFR-2022-AVI-013
Titre	Vulnérabilité dans la base de données H2
Date de la première version	10 janvier 2022
Date de la dernière version	10 janvier 2022
Source(s)	Bulletin de sécurité base de données H2 du 05 janvier 2022
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

Exécution de code arbitraire à distance

Systèmes affectés

H2 Console versions antérieures à 2.0.206

Résumé

Une vulnérabilité a été découverte dans la base de données H2. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Cette vulnérabilité est similaire à la vulnérabilité Log4Shell décrite dans l'alerte CERTFR-2021-ALE-022 publiée par le CERT-FR.
La configuration par défaut de la console H2 n'autorise pas de connexion à distance, ce service est probablement moins exposé que ceux vulnérables à log4j.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité base de données H2 du 05 janvier 2022
https://github.com/h2database/h2database/security/advisories/GHSA-h376-j262-vhq6
Référence CVE CVE-2021-42392
https://www.cve.org/CVERecord?id=CVE-2021-42392

Gestion détaillée du document

le 10 janvier 2022: Version initiale