H2-Datenbank: Log4j-ähnliche Schwachstelle in Java-Code entdeckt

Im vergangenen Monat sorgte eine schwerwiegende Schwach­stel­le in der Java-Software Log4j für Schlagzeilen. Nun ist eine ähnliche Lücke im Code der H2-Datenbank aufgetaucht. In­zwi­schen wur­de schon ein Update, das die Schwach­stel­le voll­stän­dig be­hebt, zur Verfügung gestellt. Die Sicherheitslücke hat die Bezeichnung CVE-2021-42392 erhalten und wird durch das Java Naming and Directory Interface (JNDI) verursacht. Es handelt sich um den gleichen Mechanismus, der auch der Logging-Bibliothek Log4j zum Verhängnis wurde. Angreifer haben die Möglichkeit, URLs zum Laden von Schadcode an die Schnittstelle zu senden. Der Code wird anschließend ausgeführt, sodass ein Server-System vollständig übernommen werden kann. H2-SchwachstelleIn der Konsole der H2-Datenbank wurde eine Log4j-ähnliche Sicherheitslücke gefunden

Lücke betrifft lediglich die Web-Konsole

Die H2-Software bringt eine eingebettete Web-Konsole mit sich, die eine Verwaltung der Datenbank ermöglicht. Mit Hilfe der Konsole haben Hacker die Option, eine manipulierte Anfrage an den Datenbank-Server zu senden und Malware zu starten. Die Auswirkungen der Sicherheitslücke dürften sich jedoch in Grenzen halten. Während Log4j als Hintergrund-Dienst in vielen Programmen verwendet wurde, betrifft die neue Schwachstelle Threatpost zufolge ausschließlich die Konsole der H2-Datenbank.

Wer ein H2-Datenbanksystem und die entsprechende Konsole verwendet, sollte die Software schnellstmöglich aktualisieren. Die Entwickler haben inzwischen einen Patch, der die Lücke schließt, bereitgestellt. Von der Schwachstelle sind die H2-Versionen 1.1.100 bis 2.0.204 betroffen. Der Bug wurde mit dem Build 2.0.206 behoben. Die neueste Version verhindert, dass LDAP-URLs für JNDI-Abfragen verwendet werden und schließt damit die Sicherheitslücke.

Siehe auch: Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Hack, Angriff, Virus, Trojaner, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hacking, Hackerangriff, Erpressung, Internetkriminalität, Code, Warnung, Programmierung, Darknet, Quellcode, Hacken, Programmierer, Hacker Angriffe, Hacker Angriff, Attack, Ransom, Hacks, Viren, Gehackt, Programmieren, Crime, Schädling, China Hacker, Russische Hacker, Security Report, Malware Warnung, Coder, Security Bulletin, Admin, Promi-Hacker, Administrator, Android Malware, nerd Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Hack, Angriff, Virus, Trojaner, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hacking, Hackerangriff, Erpressung, Internetkriminalität, Code, Warnung, Programmierung, Darknet, Quellcode, Hacken, Programmierer, Hacker Angriffe, Hacker Angriff, Attack, Ransom, Hacks, Viren, Gehackt, Programmieren, Crime, Schädling, China Hacker, Russische Hacker, Security Report, Malware Warnung, Coder, Security Bulletin, Admin, Promi-Hacker, Administrator, Android Malware, nerd
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 10:09 Uhr FeiyuTech AK4500 Kamera Gimbal, Dslr Stabilisator Handheld Camera Stabilizer,LCD Touch Panel, 3-Achsen bis 4,6kg für Spiegellose Canon 5D Mark Nikon D500 D7500 Sony A6400 A6500 PanasonicFeiyuTech AK4500 Kamera Gimbal, Dslr Stabilisator Handheld Camera Stabilizer,LCD Touch Panel, 3-Achsen bis 4,6kg für Spiegellose Canon 5D Mark Nikon D500 D7500 Sony A6400 A6500 Panasonic
Original Amazon-Preis
179,00
Im Preisvergleich ab
?
Blitzangebot-Preis
152,15
Ersparnis zu Amazon 15% oder 26,85

Video-Empfehlungen

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!