Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5076-1 h2database

Bulletin d'alerte Debian

DSA-5076-1 h2database -- Mise à jour de sécurité

Date du rapport :

15 février 2022

Paquets concernés :

h2database

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1003894.
Dans le dictionnaire CVE du Mitre : CVE-2021-42392, CVE-2022-23221.

Plus de précisions :

Des chercheurs en sécurité de JFrog Security et Ismail Aydemir ont découvert deux vulnérabilités d'exécution de code à distance dans le moteur de base de données Java SQL H2 qui peuvent être exploitées au moyen de divers vecteurs d'attaque, plus particulièrement à travers la console de H2 et en chargeant des classes personnalisées à partir de serveurs distants en utilisant JNDI. La console de H2 est un outil de développement et n'est requise par aucune dépendance inverse dans Debian. Elle a été désactivée dans les versions oldstable et stable. Il est recommandé aux développeurs de bases de données d'utiliser au moins la version 2.1.210-1, actuellement disponible dans Debian unstable.

Pour la distribution oldstable (Buster), ces problèmes ont été corrigés dans la version 1.4.197-4+deb10u1.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1.4.197-4+deb11u1.

Nous vous recommandons de mettre à jour vos paquets h2database.

Pour disposer d'un état détaillé sur la sécurité de h2database, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/h2database.