Nasjonalt cybersikkerhetssenter (NCSC) har varslet en kritisk feil:
NCSC ønsker å varsle om kritiske SQL-injeksjonssårbarheter [1] i GeoServer (CVE-2023-25157) [2] og GeoTools (CVE-2023-25158) [3]. Begge sårbarhetene er gitt en CVSS-score på 9.8. Det er publisert sikkerhetsoppdateringer for et utvalg nyere versjoner og NCSC anbefaler alle som benytter disse å oppdatere så fort det lar seg gjøre.
Merk at GeoServer/GeoTools kan benyttes i ulike konfigurasjoner og NCSC anbefaler at man dobbeltsjekker at man ikke er berørt av sårbarheten.
Som standard vil versjonsnummeret på en GeoServer-instans vises for alle som besøker tjenesten, dette gjør det enkelt for andre å avdekke om instansen er sårbar. NCSC er ikke kjent med aktiv utnyttelse av sårbarheten – men dette kan raskt endres. Det er derfor viktig at berørte virksomheter raskt iverksetter mitigerende tiltak. I situasjoner hvor det kjøres eldre versjoner som ikke har sikkerhetsoppdateringer tilgjengelig, eller hvis patching ikke er mulig, må man vurdere å isolere tjenesten fra internett.
Det er publisert en liste med mitigerende tiltak på nettsidene til GeoServer [1] samt på github [2,3]. Vi gjør oppmerksom på at listene ikke bør sees på som uttømmende, og sikkerhetsoppdatering vil i alle tilfeller være å foretrekke.
Med vennlig hilsen,
Nasjonalt cybersikkerhetssenter
Referanser:
[1] https://geoserver.org/vulnerability/2023/02/20/ogc-filter-injection.html
[2] https://github.com/geoserver/geoserver/security/advisories/GHSA-7g5f-wrx8-5ccf
[3] https://github.com/geotools/geotools/security/advisories/GHSA-99c3-qc2q-p94m
Hva betyr dette for dere?
I løsningen satt opp så benyttes det kartoza/geoserver docker image. Deres GeoServer versjon pr i dag er: 2.22.0. Når en oppdatering til versjon 2.22.2/ 2.21.4 er tilgjengelig vil vi sterkt anbefale å oppgradere. Liste over kartoza/geoserver versjonene finner man her: kartoza/geoserver Tags | Docker Hub.
PostGIS kjører på en isolert instans med data som er åpne for nedlasting som CSV. Risikoen for sensitiv informasjon på avveie er liten. Vi vil likevel anbefale å oppgradere til siste versjon når nytt docker image er tilgjengelig.