Kritische Remote Code Execution (RCE) Schwachstellen in GeoTools und GeoServer

Table of Contents

Zwei kritische Sicherheitslücken (CVE-2024-36404 & CVE-2024-36401) wurden in den beliebten Open-Source-Bibliotheken GeoTools und GeoServer entdeckt, die Remote Code Execution (RCE) ermöglichen. Diese Schwachstellen betreffen die unsichere Auswertung von XPath- und Eigenschaftsnamen-Ausdrücken und können von Angreifern ausgenutzt werden, um beliebigen Code auszuführen.

Betroffene Pakete und Versionen

  • org.geotools.xsd:gt-xsd-core, org.geotools:gt-app-schema, org.geotools:gt-complex
  • Versionen: >= 30.0, < 30.4; >= 31.0, < 31.2; < 29.6
  • org.geoserver.web:gs-web-app, org.geoserver:gs-wfs, org.geoserver:gs-wms
  • Versionen: >= 2.24.0, < 2.24.4; >= 2.25.0, < 2.25.2; < 2.23.6

CVE-2024-36404 (GeoTools)

Die Schwachstelle betrifft die Verarbeitung von benutzerdefinierten QCOW2-Images. Ein Angreifer kann durch das Einreichen eines speziell erstellten QCOW2-Images, das einen bestimmten Dateipfad referenziert, den Server dazu bringen, den Inhalt dieser Datei zurückzugeben. Dies führt zu unbefugtem Zugriff auf potenziell sensible Daten. Besonders gefährlich ist, dass alle Cinder-Deployments und Nova-Installationen betroffen sind, während bei Glance nur Deployments mit aktivierter Bildkonvertierung betroffen sind.

Die Methoden, die besonders anfällig sind, umfassen:

  • org.geotools.appschema.util.XmlXpathUtilites.getXPathValues
  • org.geotools.appschema.util.XmlXpathUtilites.countXPathNodes
  • org.geotools.appschema.util.XmlXpathUtilites.getSingleXPathValue
  • org.geotools.data.complex.expression.FeaturePropertyAccessorFactory.FeaturePropertyAccessor.get
  • org.geotools.data.complex.expression.FeaturePropertyAccessorFactory.FeaturePropertyAccessor.set
  • org.geotools.data.complex.expression.MapPropertyAccessorFactory.new PropertyAccessor().get
  • org.geotools.xsd.StreamingParser.StreamingParser

Ein Beispiel für die Ausnutzung dieser Schwachstelle ist, dass eine Eingabe an die Methode StreamingParser die Antwort des Systems um fünf Sekunden verzögern kann:

new org.geotools.xsd.StreamingParser(
    new org.geotools.filter.v1_0.OGCConfiguration(),
    new java.io.ByteArrayInputStream("<Filter></Filter>".getBytes()),
    "java.lang.Thread.sleep(5000)")
.parse();

CVE-2024-36401 (GeoServer):

Diese Schwachstelle betrifft mehrere OGC-Anforderungsparameter, die RCE durch unsichere Auswertung von Eigenschaftsnamen als XPath-Ausdrücke ermöglichen. Die GeoTools-Bibliothek API, die von GeoServer aufgerufen wird, evaluiert die Eigenschafts- und Attributnamen von Feature-Typen auf eine Weise, die zur Ausführung von beliebigem Code führen kann. Diese Schwachstelle betrifft alle GeoServer-Instanzen, da die unsichere Auswertung sowohl für komplexe als auch für einfache Feature-Typen angewendet wird.

Diese Schwachstelle kann über verschiedene OGC-Anforderungen wie WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic und WPS Execute ausgenutzt werden.

Die Auswirkungen dieser Schwachstellen sind gravierend. Angreifer können beliebigen Code auf den betroffenen Systemen ausführen, was zu erheblichen Sicherheitsverletzungen führt, einschließlich des Zugriffs auf vertrauliche Daten und der vollständigen Kompromittierung der Integrität und Verfügbarkeit des Systems.

Ein Workaround besteht darin, die gt-complex-x.y.jar aus den betroffenen GeoServer-Installationen zu entfernen. Dies kann jedoch zu Funktionseinschränkungen führen. Um die Schwachstellen zu beheben, sollten die betroffenen Bibliotheken auf die gepatchten Versionen aktualisiert werden.

Detaillierte Anweisungen zur Minderung und Patches sind auf OpenDev und der GeoServer-Release-Seite verfügbar.

Referenzen

Nutzer sollten dringend ihre GeoTools- und GeoServer-Bibliotheken auf die gepatchten Versionen aktualisieren, um diese kritischen Sicherheitslücken zu schließen und die Sicherheit ihrer Systeme zu gewährleisten.

Related Posts

Datenleck: Chinesischer Balkonkraftwerkhersteller Deye weist Verantwortung von sich

Auf dem Blog von Günther Born wird berichtet, dass Balkonkfraftwerkbesitzer über die Deye-Cloud auf Solardaten einer fremden Person zugreifen konnte. Die Wechselrichter von Deye, die in vielen Balkonkraftwerken und Solaranlagen in Deutschland eingesetzt werden, sind über das Internet verbunden und speisen Daten in eine Cloud in China. Dies wirft nicht nur erhebliche Datenschutzprobleme auf, da fremde Anlagendaten samt persönlicher Informationen sichtbar wurden, sondern ist über dies noch schlecht programmiert, so dass man Anlagendaten fremder Besitzer angezeigt bekommt. Deye bestritt laut Born das Problem, und verweist darauf, dass die Nutzer die fremden Anlagen selbst angelegt haben sollen.

Read More

Hackerangriff auf TeamViewer

Laut Aussage des Global Threat Intelligence Team der NCC Group gab es Ende Juni einen Hackerangriff einer APT-Gruppe auf dei Remote-Access- und Support-Plattform von TeamViewer. Aufgrund der weit verbreiteten Nutzung dieser Software wird diese Warnung sicher an unsere Kunden weitergeleitet.

Read More

Supply-Chain-Angriff auf Polyfill: Über 100.000 Websites betroffen

In einer alarmierenden Entwicklung wurde die beliebte Open-Source-JavaScript-Bibliothek Polyfill, die von mehr als 100.000 Websites verwendet wird, Ziel eines groß angelegten Supply-Chain-Angriffs. Sansec Forensics Team enthüllte, dass eine chinesische Firma im Februar die Domain und den GitHub-Account von Polyfill übernommen hat. Seitdem wird die Domain cdn.polyfill.io dazu genutzt, Malware auf mobile Geräte zu injizieren. Laut der Suchmaschine publicwww.com sind unter den Opfern auch beliebte Websites aus Deutschland wie kleiderkreisel.de.

Read More