کمیته رکن چهارم – اخیراً یک آسیبپذیری مبتنی بر JNDI در کنسول پایگاه داده H۲ شناسایی شده است که منشاء آن مشابه منشاء آسیبپذیری Log۴Shell در کتابخانه Log۴j است.
به گفته محققان امنیتی این آسیبپذیری با شناسه CVE-۲۰۲۱-۴۲۳۹۲ شناخته میشود و امکان اجرای کد از راه دور را برای مهاجم احراز هویت نشده فراهم میکند.
پایگاه داده H۲ یک سیستم مدیریت پایگاه داده رابطهای و یک پروژه متن باز است که به زبان جاوا توسعه داده شده و میتواند در برنامههای کاربردی تعبیه و یا در حالت کلاینت-سرور اجرا شود.
این آسیبپذیری در نسخههای ۱.۱.۱۰۰ تا ۲.۰.۲۰۴ این محصول وجود دارد. توصیه میشود نسخهی پایگاه داده H۲ مورد استفاده خود را به ۲.۰.۲۰۶ ارتقا دهید.
درصورت عدم امکان ارتقای نسخه، توصیه میشود از نسخههای جاوا (JRE/JDK) زیر (یا نسخههای جدیدتر) که مخاطرات ناشی از این آسیبپذیری را کاهش میدهند (به عنوان راهکار موقت)، استفاده کنید:
۶u۲۱۱
۷u۲۰۱
۸u۱۹۱
۱۱.۰.۱
منبع : مرکز ماهر
