Varnostna obvestila / 22. 9. 2024

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Povzetek

Razvijalci odprokodnega projekta za deljenje geografskih podatkov GeoServer so 12. septembra 2024 izdali obvestilo o kritični ranljivosti CVE-2024-36401 s CVSS oceno 9.8. Ranljivost napadalcem omogoča izvajanje poljubne kode na daljavo (angl. Remote Code Execution, RCE) brez predhodne uporabniške avtentikacije in se že aktivno izrablja v omrežnih napadih. Glede na javne podatke se del zlorabljenih ranljivih strežnikov uporablja pri vzpostavitvi oddaljenega nadzora nad napravo (angl. Reverse Shell) in za propagacijo zlonamerne programske opreme.

Ranljivost se nahaja v neustreznem preverjanju imen atributov v XPath izrazih znotraj programske knjižnice gt-complex-X.Y.jar (X in Y sta številki verzije programske opreme), ki ponuja del funkcionalnosti vmesnika GeoTools API. Knjižnica pomanjkljivo preverjene XPath izraze, ki nosijo uporabniške vnose, v evaluacijo posreduje Apache knjižnici commons-jxpath, pri čemer ta lahko izvede prejeto kodo in s tem, v posameznih primerih, napadalcu omogoči zagon zlonamerne kode.

Ranljive verzije

Zaradi opisanega neustreznega preverjanja XPath izrazov in neustrezne uporabe knjižnice za njihovo nadaljnjo evaluacijo, so ranljive vse verzije GeoServer pred in vključno z verzijami 2.25.1, 2.24.3 and 2.23.5. Varnostni popravki so izdani v verzijah 2.25.2, 2.24.4 in 2.23.6.

Priporočeni ukrepi

Za vse ranljive verzije programske opreme GeoServer svetujemo takojšnjo posodobitev na najnovejšo razpoložjivo verzijo. Za uporabnike, ki nadgradnje ne morejo opraviti nemudoma, je začasna rešitev lahko tudi preimenovanje ali izbris ranljive knjižnice gt-complex-X.Y.jar. Običajno mesto omenjene ranljive datoteke je “WEB-INF/lib/gt-complex-X.Y.jar” ali “webapps/geoserver/WEB-INF/lib/gt-complex-X.Y.jar”. Pri tem opozarjamo, da lahko ta ukrep povzroči nepravilno delovanje programske opreme GeoServer.

Viri

Preberite tudi

Varnostna obvestila / 17. 2. 2025

SI-CERT 2025-02 / Okužbe s kombinacijo tipk v lažnih CAPTCHA preverjanjih

Zlorabljena spletna stran zahteva izpolnitev lažnega CAPTCHA obrazca prek kombinacije na tipkovnici Win + R, Ctrl + V in Enter. V primeru izvedbe teh pritiskov na tipkovnici, pride do okužbe računalnika

Več

Varnostna obvestila / 16. 1. 2025

SI-CERT 2025-01 / Prevzemi in kreiranje Telegram računov brez vednosti uporabnikov telefonskih številk

Že nekaj mesecev obravnavamo primere ustvarjanja uporabniških računov na platformi Telegram s slovenskimi telefonskimi številkami, pri čemer računov niso kreirali uporabniki teh številk. Na podoben način prihaja do prevzema obstoječih Telegram računov, ki niso zaščiteni z dodatnim geslom. Trenutno zbrane informacije kažejo, da ne gre za ciljane napade.

Več

Varnostna obvestila / 27. 9. 2024

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'

Več