Coğrafi veri işlemede kullanılan yaygın olarak kullanılan açık kaynaklı Java araçları GeoServer ve GeoTools, XPath ifade enjeksiyonuyla ilgili güvenlik açıklarını giderdi.
CVE-2024-36401 ve CVE-2024-36404 olarak tanımlanan bu XPath ifade enjeksiyonu açıkları, uzaktan kod yürütülmesine yol açarak etkilenen sistemler için ciddi riskler oluşturabilir.
Bu ifade enjeksiyonu güvenlik açıkları, GeoServer’ın XPath ifadelerini işleme biçiminden kaynaklanır. Özellikle, GeoServer GeoTools kütüphane API’siyle etkileşime girdiğinde, öğe türü öznitelik adlarını commons-jxpath kütüphanesine güvenli olmayan bir şekilde geçirir. Bu yanlış işleme, kötü niyetli aktörlerin etkilenen sunucuda keyfi kod çalıştırabilen hazırlanmış XPath ifadeleri enjekte etmesine olanak tanır.
XPath İfade Enjeksiyonu Güvenlik Açıklarının Kullanımı ve Etkisi
Kimliği doğrulanmamış bir saldırgan, birden fazla OGC istek parametresi aracılığıyla özel olarak hazırlanmış girdiler göndererek bu güvenlik açıklarını istismar edebilir. Bu, GeoServer uygulaması bağlamında yetkisiz uzaktan kod yürütülmesine yol açabilir ve etkilenen sistemler tarafından depolanan ve işlenen coğrafi verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atabilir.
GeoServer için, güvenlik açığı bulunan sürümler arasında 2.23.6’dan önceki sürümler, 2.24.0 ile 2.24.3 arasındaki sürümler ve 2.25.0 ile 2.25.1 arasındaki sürümler yer alıyor. Benzer şekilde, GeoTools için etkilenen sürümler arasında 29.6’dan önceki sürümler, 30.0 ile 30.3 arasındaki sürümler ve 31.0 ile 31.1 arasındaki sürümler yer alıyor.
Bu güvenlik risklerini ele almak için acil eylem şiddetle önerilir. Kullanıcılar GeoServer kurulumlarını 2.23.6 veya üzeri, 2.24.4 veya üzeri ve 2.25.2 veya üzeri sürümlere yükseltmelidir. Aynı şekilde, GeoTools kullanıcıları da 29.6 veya üzeri, 30.4 veya üzeri veya 31.2 veya üzeri sürümlere yükseltmelidir. Bu güvenlik açıklarını azaltmak için resmi yamalar yayınlanmıştır ve kullanıcılar bunları ilgili GeoServer ve GeoTools depolarından derhal indirmelidir.
XPath İfade Enjeksiyonu Güvenlik Açıkları için Azaltma ve Yamalar
Hemen yükseltme yapamayanlar için, GeoServer’ın WEB-INF/lib dizinindeki güvenlik açığı bulunan jar dosyalarını (gt-app-schema, gt-complex, gt-xsd-core) 2.25.1, 2.24.3, 2.24.2, 2.23.2, 2.21.5, 2.20.7, 2.20.4, 2.19.2 veya 2.18.0 sürümleriyle değiştirmek geçici koruma sağlayabilir. Bu eylemler, coğrafi veri işleme sistemlerini olası istismara karşı korumak ve kritik altyapının bütünlüğünü ve güvenliğini korumak için önemlidir.
Geçici Çözüm: Hemen güncelleme yapmak mümkün değilse, gt-complex-xyjar dosyasını silmeyi düşünün (burada xy, GeoTools sürümünü temsil eder, örneğin, GeoServer 2.25.1 için gt-complex-31.1.jar). Bu eylemin GeoServer’ın belirli işlevlerini geçici olarak tehlikeye atabileceğini unutmayın.
GeoServer ve GeoTools’daki güvenlik açıkları, güvenlik güncellemelerini ve yamalarını derhal uygulamanın kritik önemini vurgular. Coğrafi veri yönetimi ve işleme için bu araçlara güvenen kuruluşlar ve kullanıcılar, istismar riskini azaltmak için kurulumlarını güncellemeye öncelik vermelidir. Güvenlik uyarılarını ele almada bilgili ve proaktif kalarak, kullanıcılar sistemlerini olası tehditlere karşı koruyabilir ve coğrafi hizmetlerin güvenli bir şekilde çalışmasını sağlayabilir.