[JustisCERT-varsel] [#011-2023] [TLP:CLEAR] Kritiske sårbarheter i GeoServer og GeoTools

JustisCERT deler informasjon fra Nasjonalt Cybersikkerhetssenter (NCSC).

Varsel fra NCSC:
NCSC ønsker å varsle om kritiske SQL-injeksjonssårbarheter [1] i GeoServer (CVE-2023-25157) [2] og GeoTools (CVE-2023-25158) [3]. Begge sårbarhetene er gitt en CVSS-score på 9.8. Det er publisert sikkerhetsoppdateringer for et utvalg nyere versjoner og NCSC anbefaler alle å oppdatere så fort det lar seg gjøre. 

Merk at GeoServer/GeoTools kan benyttes i ulike konfigurasjoner og NCSC anbefaler at man dobbeltsjekker at man ikke er berørt av sårbarheten.

Som standard vil versjonsnummeret på en GeoServer-instans vises for alle som besøker tjenesten, dette gjør det enkelt for andre å avdekke om instansen er sårbar. NCSC er ikke kjent med aktiv utnyttelse av sårbarheten, men dette kan raskt endres. Det er derfor viktig at berørte virksomheter raskt iverksetter mitigerende tiltak. I situasjoner hvor det kjøres eldre versjoner som ikke har sikkerhetsoppdateringer tilgjengelig, eller hvis patching ikke er mulig, må man vurdere å isolere tjenesten fra internett. 

Det er publisert en liste med mitigerende tiltak på nettsidene til GeoServer [1] samt på github [2,3]. Vi gjør oppmerksom på at listene ikke bør sees på som uttømmende, og sikkerhetsoppdatering vil i alle tilfeller være å foretrekke.

Med vennlig hilsen,
Nasjonalt cybersikkerhetssenter

Referanser:
[1] https://geoserver.org/vulnerability/2023/02/20/ogc-filter-injection.html
[2] https://github.com/geoserver/geoserver/security/advisories/GHSA-7g5f-wrx8-5ccf
[3] https://github.com/geotools/geotools/security/advisories/GHSA-99c3-qc2q-p94m