Vulnérabilité critique découverte dans la console de base de données H2 SQL

Les administrateurs informatiques qui travaillent avec la base de données H2 SQL à code source ouvert et basée sur Java dans leurs environnements sont invités à se mettre à jour vers la plus récente version, après la découverte d’une vulnérabilité « extrêmement critique ».

Image : Getty

Des chercheurs de la firme JFrog ont déclaré la semaine dernière que la vulnérabilité nommée CVE-2021-42392 a la même cause profonde que la vulnérabilité Log4Shell dans Apache Log4j2, soit un défaut dans l’interface de nommage et répertoire Java (JDNI), qui permettrait des accès et des contrôles à distance non autorisés. Dans ce cas-ci, il s’agit de la console de base de données H2.

L’alerte recommande que les utilisateurs se mettent à jour immédiatement vers la plus récente version de H2, c’est-à-dire la version 2.0.206. Les versions qui exposent une console H2 à un réseau local ou étendu courent un grand risque.

L’alerte fait aussi remarquer que des outils de développement d’applications utilisent des bases de données H2 qui exposent la console H2. Ces outils pourraient être un risque de propager des logiciels malveillants par l’entremise d’attaques de la chaîne d’approvisionnement.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Apache livre un cinquième correctif en décembre pour colmater un bogue dans Log4j

Instructions du Groupe des cinq concernant Log4Shell

Cybersécurité : Apache publie un troisième correctif Log4j

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Des centaines de milliers d’applications menacées par un bogue Python non corrigé

Plus de 350 000 référentiels de code source ouvert peuvent être compromis car ils incluent un module Python contenant une vulnérabilité non corrigée vieille de 15 ans.

Le cheval de Troie Gh0stCringe requiert des interventions

Les administrateurs de bases de données sont invités à renforcer leur sécurité informatique contre un logiciel de type cheval de Troie nommé Gh0stCringe.

Vulnérabilités critiques découvertes dans Veeam

Les responsables des technologies de l’information qui utilisent l’application de sauvegarde et reproduction de l'entreprise Veeam sont invités à appliquer immédiatement des correctifs après la découverte de vulnérabilités critiques.

Vulnérabilité découverte dans la base de données NoSQL Cassandra d’Apache

Les administrateurs qui supervisent des installations de la base de données distribuée Cassandra d'Apache sont invités à installer la plus récente version après la découverte d'une vulnérabilité d'exécution à distance de code.

Virus à ARN traqués par des étudiants de l’Université de la Colombie-Britannique et AWS

Des chercheurs de l'Université de la Colombie-Britannique et AWS s'associent pour découvrir de nouvelles souches de virus à ARN.