NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden verholpen in H2 Database Console
Advisory ID     : NCSC-2022-0010
Versie          : 1.01
Kans            : high
CVE ID          : CVE-2021-42392, CVE-2022-23221
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : medium
                  (Remote) code execution (Gebruikersrechten)
Uitgiftedatum   : 20220216
Toepassing      : H2 Database Engine
Versie(s)       : < 2.0.206
Platform(s)     : Debian

Update
   Debian heeft updates uitgebracht om de kwetsbaarheden te verhelpen
   in h2database. De update van Debian voegt CVE-2022-23221 toe aan
   deze advisory. De inschaling wijzigt daarmee naar HIGH/MEDIUM. Zie
   "Mogelijke oplossingen" voor meer informatie.

Beschrijving
   Er zijn kwetsbaarheden verholpen in het Console component van H2
   Database. Deze kwetsbaarheden stellen een lokale kwaadwillende in
   staat om willekeurige code uit te voeren onder rechten van de
   applicatie.

   De kwetsbaarheid met CVE-2021-42392 is door onderzoekers van JFrog
   gevonden bij aanvullend onderzoek naar Java-kwetsbaarheden naar
   aanleiding van Log4j. Zie "Mogelijke oplossingen" voor meer
   informatie.

   Deze kwetsbaarheid is het gevolg van een onveilige manier waarop
   JNDI-lookup-functionaliteit is geïmplementeerd. Dit heeft dezelfde
   oorzaak als bij Log4shell, echter betreft het hier twee
   verschillende producten. Bovendien is de Console in een
   standaardconfiguratie uitsluitend te benaderen vanaf het lokale
   systeem.

   De kwetsbaarheid met kenmerk CVE-2022-23221 stelt op een
   vergelijkbare wijze een kwaadwillende in staat om via een speciaal
   geprepareerde JDBC-url willekeurige code uit te voeren. Voor deze
   kwetsbaarheid is ook een proof-of-concept gepubliceerd.

   Het is goed gebruik om interfaces zoals deze niet naar het netwerk
   te ontsluiten en uitsluitend lokaal te benaderen.

Mogelijke oplossingen
   H2 heeft updates uitgebracht om de kwetsbaarheid te verhelpen in H2
   Database. Voor meer informatie, zie:

   https://github.com/h2database/h2database/security/advisories
      /GHSA-h376-j262-vhq6

   Voor updates voor producten waarin de H2 Database als component is
   verwerkt, bent u mogelijk afhankelijk van uw leverancier. Wanneer u
   een van deze producten gebruikt, is het aan te bevelen om de updates
   van uw leverancier te monitoren.

   Tevens heeft JFrog mitigerende maatregelen gepubliceerd voor deze
   kwetsbaarheid. Zie onderstaand artikel voor deze maatregelen en
   verdere toelichting:

   https://jfrog.com/blog
      /the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console
      /

   Aanvullende informatie over CVE-2022-23221 is gepubliceerd op deze
   pagina:

   https://seclists.org/fulldisclosure/2022/Jan/39

   -= Debian =-
   Debian heeft updates van h2database beschikbaar gesteld voor Debian
   10.0 (Buster) en Debian 11.0 (Bullseye) om de kwetsbaarheden te
   verhelpen. U kunt de aangepaste packages installeren door gebruik te
   maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie
   kunt u vinden op onderstaande pagina:

   https://lists.debian.org/debian-security-announce/2022/msg00043.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=XzX5
-----END PGP SIGNATURE-----