Skoči na vsebino

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Povzetek

Razvijalci odprokodnega projekta za deljenje geografskih podatkov GeoServer so 12. septembra 2024 izdali obvestilo o kritični ranljivosti CVE-2024-36401 s CVSS oceno 9.8. Ranljivost napadalcem omogoča izvajanje poljubne kode na daljavo (angl. Remote Code Execution, RCE) brez predhodne uporabniške avtentikacije in se že aktivno izrablja v omrežnih napadih. Glede na javne podatke se del zlorabljenih ranljivih strežnikov uporablja pri vzpostavitvi oddaljenega nadzora nad napravo (angl. Reverse Shell) in za propagacijo zlonamerne programske opreme.  

Ranljivost se nahaja v neustreznem preverjanju imen atributov v XPath izrazih znotraj programske knjižnice gt-complex-X.Y.jar (X in Y sta številki verzije programske opreme), ki ponuja del funkcionalnosti vmesnika GeoTools API. Knjižnica pomanjkljivo preverjene XPath izraze, ki nosijo uporabniške vnose, v evaluacijo posreduje Apache knjižnici commons-jxpath, pri čemer ta lahko izvede prejeto kodo in s tem, v posameznih primerih, napadalcu omogoči zagon zlonamerne kode.

Ranljive verzije

Zaradi opisanega neustreznega preverjanja XPath izrazov in neustrezne uporabe knjižnice za njihovo nadaljnjo evaluacijo, so ranljive vse verzije GeoServer pred in vključno z verzijami 2.25.1, 2.24.3 and 2.23.5. Varnostni popravki so izdani v verzijah 2.25.2, 2.24.4 in 2.23.6.

Priporočeni ukrepi

Za vse ranljive verzije programske opreme GeoServer svetujemo takojšnjo posodobitev na najnovejšo razpoložjivo verzijo. Za uporabnike, ki nadgradnje ne morejo opraviti nemudoma, je začasna rešitev lahko tudi preimenovanje ali izbris ranljive knjižnice gt-complex-X.Y.jar. Običajno mesto omenjene ranljive datoteke je “WEB-INF/lib/gt-complex-X.Y.jar” ali “webapps/geoserver/WEB-INF/lib/gt-complex-X.Y.jar”. Pri tem opozarjamo, da lahko ta ukrep povzroči nepravilno delovanje programske opreme GeoServer.

Viri

Preberite tudi

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več

SI-CERT 2024-04 / Kritična ranljivost v PAN-OS

Kritična ranljivost CVE-2024-3400 sistema PAN-OS omogoča oddaljeno izvajanje poljubne kode s pravicami root uporabnika.
Več