Skoči na vsebino
Varnostna obvestila /

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Povzetek

Razvijalci odprokodnega projekta za deljenje geografskih podatkov GeoServer so 12. septembra 2024 izdali obvestilo o kritični ranljivosti CVE-2024-36401 s CVSS oceno 9.8. Ranljivost napadalcem omogoča izvajanje poljubne kode na daljavo (angl. Remote Code Execution, RCE) brez predhodne uporabniške avtentikacije in se že aktivno izrablja v omrežnih napadih. Glede na javne podatke se del zlorabljenih ranljivih strežnikov uporablja pri vzpostavitvi oddaljenega nadzora nad napravo (angl. Reverse Shell) in za propagacijo zlonamerne programske opreme.  

Ranljivost se nahaja v neustreznem preverjanju imen atributov v XPath izrazih znotraj programske knjižnice gt-complex-X.Y.jar (X in Y sta številki verzije programske opreme), ki ponuja del funkcionalnosti vmesnika GeoTools API. Knjižnica pomanjkljivo preverjene XPath izraze, ki nosijo uporabniške vnose, v evaluacijo posreduje Apache knjižnici commons-jxpath, pri čemer ta lahko izvede prejeto kodo in s tem, v posameznih primerih, napadalcu omogoči zagon zlonamerne kode.

Ranljive verzije

Zaradi opisanega neustreznega preverjanja XPath izrazov in neustrezne uporabe knjižnice za njihovo nadaljnjo evaluacijo, so ranljive vse verzije GeoServer pred in vključno z verzijami 2.25.1, 2.24.3 and 2.23.5. Varnostni popravki so izdani v verzijah 2.25.2, 2.24.4 in 2.23.6.

Priporočeni ukrepi

Za vse ranljive verzije programske opreme GeoServer svetujemo takojšnjo posodobitev na najnovejšo razpoložjivo verzijo. Za uporabnike, ki nadgradnje ne morejo opraviti nemudoma, je začasna rešitev lahko tudi preimenovanje ali izbris ranljive knjižnice gt-complex-X.Y.jar. Običajno mesto omenjene ranljive datoteke je “WEB-INF/lib/gt-complex-X.Y.jar” ali “webapps/geoserver/WEB-INF/lib/gt-complex-X.Y.jar”. Pri tem opozarjamo, da lahko ta ukrep povzroči nepravilno delovanje programske opreme GeoServer.

Viri

Preberite tudi

Varnostna obvestila /

SI-CERT 2025-05 / Kritična ranljivost Roundcube Webmail

Roundcube Webmail vsebuje kritično ranljivost, ki omogoča izvajanje poljuben kode. Ranljivost se že lahko izkorišča v napadih, zato svetujemo takojšnje ukrepanje.
Več
Varnostna obvestila /

SI-CERT 2025-04 / Težave spletnih strežnikov zaradi obsežnega strganja vsebin za potrebe treniranje LLM modelov

AI boti, ki strgajo vsebine iz spletnih mest za potrebe treniranja LLM modelov, lahko povzročijo podobne težave kot DDoS napad.
Več
Varnostna obvestila /

SI-CERT 2025-03 / Več VMware ranljivosti

Izraba verige treh ranljivosti napadalcem omogoča prehod iz virtualnega sistema v gostiteljski sistem (t.i. VM Escape). Po podatkih proizvajalca naj bi se ranljivosti že izrabljale v posameznih napadih.
Več