Eine neu entdeckte Sicherheitslücke mit der Bezeichnung CVE-2021-42392 wird durch das Java Naming and Directory Interface (JNDI) verursacht. Hierbei handelt es sich um einen Mechanismus, der auch die Schwachstelle der Logging-Bibliothek Log4j aufzeigte. Angreifer können mit diesem Vorgehen URLs zum Laden von Schadcode an die Schnittstelle senden. Dieser Code wird nach dem Laden ausgeführt und wird zum Eingangstor, um ein Server-System vollständig zu übernehmen.

 

Die Lücke betrifft ausschließlich die
Web-Konsole der Datenbank

Die H2-Software bietet zur Verwaltung der Datenbank eine eingebettete Web-Konsole. Hacker nutzen diese Konsole, um eine manipulierte Anfrage an den Datenbank-Server zu senden und die Malware zu starten. TransportControl und movizon CONTROL nutzen eine eingebettete H2 Datenbank ohne Konsole. Daher ist das Ausnutzen dieser Sicherheitslücke über unsere Systeme nicht möglich.