Vulnérabilité critique découverte dans la console de base de données H2 SQL

Les administrateurs informatiques qui travaillent avec la base de données H2 SQL à code source ouvert et basée sur Java dans leurs environnements sont invités à se mettre à jour vers la plus récente version, après la découverte d’une vulnérabilité « extrêmement critique ».

Image : Getty

Des chercheurs de la firme JFrog ont déclaré la semaine dernière que la vulnérabilité nommée CVE-2021-42392 a la même cause profonde que la vulnérabilité Log4Shell dans Apache Log4j2, soit un défaut dans l’interface de nommage et répertoire Java (JDNI), qui permettrait des accès et des contrôles à distance non autorisés. Dans ce cas-ci, il s’agit de la console de base de données H2.

L’alerte recommande que les utilisateurs se mettent à jour immédiatement vers la plus récente version de H2, c’est-à-dire la version 2.0.206. Les versions qui exposent une console H2 à un réseau local ou étendu courent un grand risque.

L’alerte fait aussi remarquer que des outils de développement d’applications utilisent des bases de données H2 qui exposent la console H2. Ces outils pourraient être un risque de propager des logiciels malveillants par l’entremise d’attaques de la chaîne d’approvisionnement.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Apache livre un cinquième correctif en décembre pour colmater un bogue dans Log4j

Instructions du Groupe des cinq concernant Log4Shell

Cybersécurité : Apache publie un troisième correctif Log4j

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Le cheval de Troie Gh0stCringe requiert des interventions

Les administrateurs de bases de données sont invités à renforcer leur sécurité informatique contre un logiciel de type cheval de Troie nommé Gh0stCringe.

Vulnérabilités critiques découvertes dans Veeam

Les responsables des technologies de l’information qui utilisent l’application de sauvegarde et reproduction de l'entreprise Veeam sont invités à appliquer immédiatement des correctifs après la découverte de vulnérabilités critiques.

Vulnérabilité découverte dans la base de données NoSQL Cassandra d’Apache

Les administrateurs qui supervisent des installations de la base de données distribuée Cassandra d'Apache sont invités à installer la plus récente version après la découverte d'une vulnérabilité d'exécution à distance de code.

Virus à ARN traqués par des étudiants de l’Université de la Colombie-Britannique et AWS

Des chercheurs de l'Université de la Colombie-Britannique et AWS s'associent pour découvrir de nouvelles souches de virus à ARN.

Agents conversationnels : Botpress revient sur 2021

Selon Botpress, une entreprise en démarrage basée à Québec qui développe une plateforme à code source ouvert de création d’agents conversationnels, l’utilisation de sa plateforme a doublé en 2021.