V9扫描出H2 控制台 JNDI 远程代码执行漏洞(CVE-2021-42392)
漏洞描述:
H2 是一个用 Java 编写的关系数据库管理系统。H2 存在远程代码执行漏洞,该漏洞是由于 H2 控制台可以通过 JNDI 从远程服务器加载自定义类,攻击者可利用该漏洞在未授权的情况下,构造恶意请求,触发远程代码执行漏洞
修复建议:
将 H2 升级到 2.0.206 及以上版本,下载地址:https://h2database.com/html/download.html
验证信息:
版本比对检测原理:检查当前系统中H2版本是否在受影响版本内|版本比对检测结果:- h2
当前安装版本:1.4.190
应用相关信息:
- 应用路径:/root/AAS-V9.0-1/domains/mydomain/deploy/.system/webtool.war/tmpfiles/docroot/WEB-INF/lib/h2-1.4.190.jar
该主机存在此漏洞
解决办法:
由于应用只能在jdk1.6的环境跑,H2的2X版本是jdk1.8编译的,如若要升级H2至2X版本的话,应用无法正常运行
建议:在不影响应用的前提下我们建议是不换H2版本,安全漏洞的触发逻辑是只有单独启动h2.jar使用web管控台注入自定义的类才会有安全隐患,现在不涉及这个操作
https://github.com/h2database/h2database/security/advisories/GHSA-h376-j262-vhq6
这个指的是用web控制台,默认是不接受远程访问的,webAllowOthers这个相当于配置了接收远程访问的白名单,像前面说的,我们不涉及h2管控台的任何操作