Kritisk feil på GeoServer/GeoTools

Nasjonalt cybersikkerhetssenter (NCSC) har varslet en kritisk feil:

NCSC ønsker å varsle om kritiske SQL-injeksjonssårbarheter [1] i GeoServer (CVE-2023-25157) [2] og GeoTools (CVE-2023-25158) [3]. Begge sårbarhetene er gitt en CVSS-score på 9.8. Det er publisert sikkerhetsoppdateringer for et utvalg nyere versjoner og NCSC anbefaler alle som benytter disse å oppdatere så fort det lar seg gjøre.

Merk at GeoServer/GeoTools kan benyttes i ulike konfigurasjoner og NCSC anbefaler at man dobbeltsjekker at man ikke er berørt av sårbarheten.

Som standard vil versjonsnummeret på en GeoServer-instans vises for alle som besøker tjenesten, dette gjør det enkelt for andre å avdekke om instansen er sårbar. NCSC er ikke kjent med aktiv utnyttelse av sårbarheten – men dette kan raskt endres. Det er derfor viktig at berørte virksomheter raskt iverksetter mitigerende tiltak. I situasjoner hvor det kjøres eldre versjoner som ikke har sikkerhetsoppdateringer tilgjengelig, eller hvis patching ikke er mulig, må man vurdere å isolere tjenesten fra internett.

Det er publisert en liste med mitigerende tiltak på nettsidene til GeoServer [1] samt på github [2,3]. Vi gjør oppmerksom på at listene ikke bør sees på som uttømmende, og sikkerhetsoppdatering vil i alle tilfeller være å foretrekke.

Med vennlig hilsen,

Nasjonalt cybersikkerhetssenter

Referanser:

[1] https://geoserver.org/vulnerability/2023/02/20/ogc-filter-injection.html

[2] https://github.com/geoserver/geoserver/security/advisories/GHSA-7g5f-wrx8-5ccf

[3] https://github.com/geotools/geotools/security/advisories/GHSA-99c3-qc2q-p94m

Hva betyr dette for dere?

I løsningen satt opp så benyttes det kartoza/geoserver docker image. Deres GeoServer versjon pr i dag er: 2.22.0. Når en oppdatering til versjon 2.22.2/ 2.21.4 er tilgjengelig vil vi sterkt anbefale å oppgradere. Liste over kartoza/geoserver versjonene finner man her: kartoza/geoserver Tags | Docker Hub.

PostGIS kjører på en isolert instans med data som er åpne for nedlasting som CSV. Risikoen for sensitiv informasjon på avveie er liten. Vi vil likevel anbefale å oppgradere til siste versjon når nytt docker image er tilgjengelig.

Legg igjen et svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Du kan bruke disse HTML koder og -attributter:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>