近日全球廣泛使用的開源地理位置資訊伺服器GeoServer被發現存在嚴重的安全漏洞(CVE-2024-36401)。該漏洞源於GeoServer處理XPath表達式的方式,使得未經身份驗證的遠端攻擊者能夠利用這個漏洞在受影響的伺服器上執行任意代碼,從而獲取伺服器權限,近期已經發現有駭客利用漏洞進行攻擊,建議使用者儘速完成更新。
GeoServer是一個開源的地理空間資訊伺服器,允許用戶使用各種開放地理空間聯盟(Open Geospatial Consortium,OGC)標準發布和管理地理空間數據。GeoServer的功能強大且靈活,廣泛應用於政府、企業和學術機構。
CVE-2024-36401主要涉及GeoServer與GeoTools函式庫API之間參數傳送的內容,GeoServer在傳遞元素類型屬性名稱給commons-jxpath函式庫時存在不安全的操作,允許未經身份驗證的攻擊者注入特製的XPath表達式,導致可以執行任意程式碼。XPath是一種用於在XML文檔中選擇節點的語言,GeoServer使用的commons-jxpath函式庫,允許在Java中使用XPath表達式。這些技術的結合使GeoServer可以靈活地處理和查詢地理空間數據,但同時也引入了潛在的安全風險。GeoServer中XPath表達式評估的設計用途,原本應該只用於複雜特徵類型(如應用模式數據存儲)的 XPath 表達式評估,現在錯誤地被應用於簡單特徵類型,導致所有 GeoServer 實例都受到這個漏洞的影響。
【資安新聞-twcert】
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-7920-1cf4e-1.html
沒有留言:
張貼留言