最新的 H2 (1.4.200) 数据库是不是仍然存在安全漏洞
Posted
技术标签:
【中文标题】最新的 H2 (1.4.200) 数据库是不是仍然存在安全漏洞【英文标题】:Is the latest H2 (1.4.200) database still have Security Vulnerabilities最新的 H2 (1.4.200) 数据库是否仍然存在安全漏洞 【发布时间】:2020-04-22 13:05:56 【问题描述】:讨论H2数据库的安全问题是正确的论坛吗?最新的 H2 (1.4.200) 数据库是否仍然存在链接中列出的安全问题,https://www.cvedetails.com/vulnerability-list.php?vendor_id=17893&product_id=45580&version_id=&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=2018&month=0&cweid=0&order=1&trc=2&sha=4b0469c034ade604446d7ba13f215239fac896a3
【问题讨论】:
【参考方案1】:CVE-2018-14335 看起来像一个假的。仅当您为每个人明确配置对 H2 控制台的访问权限时,旧版本的 H2 才会受到影响,默认情况下,它仅限于本地连接(您在同一台 PC 上是否有不受信任的本地用户?)并且文档清楚地描述了您需要保护您的当您想要启用远程访问时,服务器免受未经授权的访问。不幸的是,人们通常不阅读文档。
CVE-2018-10054 与 H2 无关,它与 Datomic 中 H2 的不安全配置有关,它已在 Datomic 0.9.5697 中修复。
许多第三方产品包含不安全的 H2 配置。为了保护他们的用户免受此类安全问题的影响,H2 从 1.4.198 版本开始不允许在没有额外身份验证的情况下访问 H2 Console 的敏感功能(包括这两个漏洞中使用的功能),因此这些问题应视为已解决如果他们使用最新版本的 H2,产品也可以。
但是,您的应用程序不应包含具有弱密码 ADMIN
用户的数据库,并为所有人启用远程访问。 H2 不是一个安全容器,具有ADMIN
权限的用户可以访问 JVM,并且可能通过设计访问您的系统。不要将ADMIN
特权授予不受信任的人和应用程序;您可以为他们创建具有正常权限的用户,并仅授予他们对必要数据的访问权限。
【讨论】:
感谢您的详细解释。以上是关于最新的 H2 (1.4.200) 数据库是不是仍然存在安全漏洞的主要内容,如果未能解决你的问题,请参考以下文章