Sikkerhedsoplysninger / 2022 / Sikkerhedsoplysninger -- DSA-5076-1 h2database

Debians sikkerhedsbulletin

DSA-5076-1 h2database -- sikkerhedsopdatering

Rapporteret den:

15. feb 2022

Berørte pakker:

h2database

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 1003894.
I Mitres CVE-ordbog: CVE-2021-42392, CVE-2022-23221.

Yderligere oplysninger:

Sikkerhedsefterforskere ved JFrog Security og Ismail Aydemir, opdagede to sårbarheder i forbindelse med fjernudførelse af kode i H2 Java SQL-databasemotoren, hvilke kunne udnyttes gennem forskellige angrebsvinkler, primært gennem H2 Console og ved at indlæse skræddersyede klasser fra fjerne servere gennem JNDI. H2 Console er et udviklerværktøj, som ikke er en reverse-dependency i Debian. Det er deaktiveret i de (gamle) stabile udgaver. Databaseudviklere anbefales som minimum af anvende version 2.1.210-1, som pt. er tilgængelig i den ustabile udgave af Debian.

I den gamle stabile distribution (buster), er disse problemer rettet i version 1.4.197-4+deb10u1.

I den stabile distribution (bullseye), er disse problemer rettet i version 1.4.197-4+deb11u1.

Vi anbefaler at du opgraderer dine h2database-pakker.

For detaljeret sikkerhedsstatus vedrørende h2database, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/h2database