Правительство США предупредило свои агентства о критических уязвимостях программного обеспечения, которые используются в ведущей геопространственной платформе.
Обнаруженные исследователем по безопасности Стивеном Икеокой, уязвимости затрагивают OSGeo GeoServer GeoTools, открытый сервер программного обеспечения, используемый для обмена и редактирования геопространственных данных.
Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило новую уязвимость, отслеживаемую как CVE-2024-36401, с оценкой серьезности 9,8, в свой каталог Известных Используемых Уязвимостей (KEV), что означает, что угрозами злоумышленники её злоупотребляют, и настоятельно рекомендовали устранить уязвимость до 5 августа 2024 года.
Путем индивидуальной настройки специфических входных данных злоумышленники могут злоупотреблять уязвимостями программного обеспечения для запуска удаленного выполнения кода (RCE), сообщается.
«Несколько параметров запроса OGC позволяют выполнение кода из удаленного источника (RCE) неаутентифицируемыми пользователями через особо созданный ввод в установке GeoServer по умолчанию из-за небезопасной оценки имен свойств как выражений XPath», — говорится в безопасном сообщении, опубликованном с обновлением.
Обновленные версии — 2.23.6, 2.24.4 и 2.25.2, и CISA дало федеральным агентствам до 5 августа на обновление программного обеспечения или прекращение его использования.
Предупреждение не указывает, кто является угрозой, и кто жертвы. GeoServer сообщил, что уязвимость «подтверждена как поддающаяся эксплуатации через запросы WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic и WPS Execute».
Характер проектов с открытым исходным кодом делает невозможным определение количества потенциально затронутых лиц, но мы знаем, что OSGeo, GeoServer и GeoTools имеют большую и активную пользовательскую базу. Инструменты широко используются в различных отраслях, включая государственный сектор, образование и частный сектор, для управления, анализа и визуализации геопространственных данных. Живые сообщества, частые вклады и широкое внедрение со стороны ведущих организаций указывают на их значительное и увеличивающееся использование.
Источник: TechRadar