14.01.2022 | Geschäftsbereich Wasser

Am 6. Januar 2022 berichteten Sicherheitsforscher in einem Blog von JFrog (JNDI-Related Vulnerability Discovered in H2 Database Console | JFrog ) über eine Sicherheitslücke in der H2-Datenbank des Programmteils H2-Konsole. Am 10. Januar 2022 wurde die dazugehörige CVE-2021-42392 (NVD - CVE-2021-42392 ) veröffentlicht, dessen CVS-Score zum aktuellen Zeitpunkt (2022-01-12) noch nicht berechnet wurde. Aufgrund der Nähe zu der bekannten Sicherheitslücke Log4Shell ist von einer kritischen Einstufung auszugehen, da ohne Authentifizierung fremder Code mit den Rechten des Dienstes zur Ausführung gebracht werden kann. Dies ermöglicht ein weiteres Nachladen von Schadcode zur Ausbreitung von Viren.

Einige KISTERS-Wasser Lösungen verwenden zwar die H2 Datenbank aber sind von dieser Sicherheitslücke nicht betroffen. Die Ergebnisse der Analyse sind in der Tabelle unten zu finden:

Module

Analyse

WISKI Standard-Portal Anwendungen + Standalone Portal

Die H2 Datenbank wird vom Portal als Jar mitausgeliefert und würde bei einer Aktivierung ausschließlich im Embedded Mode laufen. Die Konsole, die von der Sicherheitslücke betroffen ist, gehört nicht zur Lieferung. Dazu wird der TCP-Server grundsätzlich nicht gestartet da der Zugriff ausschließlich via File-Access stattfindet.

WISKI-TSM

In TSM wird intern die H2-Datenbank verwendet, allerdings nur innerhalb der JVM vom Queueserver. Damit ist TSM nicht betroffen, denn es wird weder H2 als eigenständiger Prozess gestartet, noch Sockets bereitgestellt und damit auch keine H2-Konsole angeboten.

WISKI-TSDI (Ab aber der WISKI Testversion 7.4.13.6-20211007)

Beim zukünftigen TSDI “Time Series Data Import” kann H2 als eine Alternative zur Oracle WISKI Datenbank für das Formatmanagement und den Statustracker konfiguriert werden.

  1. Oracle/MSSQL und nicht H2 ist die Standarddatenbank beim Deployment von TSDI über den Server Manager.

  2. H2 läuft im “embedded” Mode und die “Console” ist nicht aktiviert

 

KiRollingOptimizer

Die H2 Datenbank läuft im “embedded” Mode und die “Console” ist nicht aktiviert

 

Die H2 Datenbank wird in der zukünftigen WISKI Version 7.4.13 auf die neuste kompatible Version aktualisiert.

Bitte kontaktieren Sie bei Fragen Ihre Ansprechpartner von KISTERS.