Vulnérabilité critique découverte dans la console de base de données H2 SQL


Howard Solomon - 10/01/2022

Les administrateurs informatiques qui travaillent avec la base de données H2 SQL à code source ouvert et basée sur Java dans leurs environnements sont invités à se mettre à jour vers la plus récente version, après la découverte d’une vulnérabilité « extrêmement critique ».

Image : Getty

Des chercheurs de la firme JFrog ont déclaré la semaine dernière que la vulnérabilité nommée CVE-2021-42392 a la même cause profonde que la vulnérabilité Log4Shell dans Apache Log4j2, soit un défaut dans l’interface de nommage et répertoire Java (JDNI), qui permettrait des accès et des contrôles à distance non autorisés. Dans ce cas-ci, il s’agit de la console de base de données H2.

L’alerte recommande que les utilisateurs se mettent à jour immédiatement vers la plus récente version de H2, c’est-à-dire la version 2.0.206. Les versions qui exposent une console H2 à un réseau local ou étendu courent un grand risque.

L’alerte fait aussi remarquer que des outils de développement d’applications utilisent des bases de données H2 qui exposent la console H2. Ces outils pourraient être un risque de propager des logiciels malveillants par l’entremise d’attaques de la chaîne d’approvisionnement.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Apache livre un cinquième correctif en décembre pour colmater un bogue dans Log4j

Instructions du Groupe des cinq concernant Log4Shell

Cybersécurité : Apache publie un troisième correctif Log4j




Tags: , , , , , , , , , , , , , ,
Howard Solomon

À propos de Howard Solomon

Howard Solomon est le rédacteur en chef du portail ITworldcanada.com.