近日,美国网络安全和基础设施安全局(CISA)发布了重要警告,敦促联邦机构尽快修补 GeoServer 中的严重漏洞 CVE-2024-36401。此漏洞的 CVSS 评分高达 9.8,表明其危害程度极高。更令人担忧的是,有证据显示该漏洞正在被积极利用。
CVE-2024-36401 漏洞详解
CVE-2024-36401 是一个严重的安全漏洞,源自 GeoServer 在评估属性名称时的不安全处理。具体而言,该漏洞涉及将属性名称作为 XPath 表达式进行不安全的评估,允许未经身份验证的攻击者通过精心设计的输入对默认安装的 GeoServer 进行远程代码执行。
GeoServer 是一个用于共享和编辑地理空间数据的开源服务器,依赖 GeoTools 库 API 来处理地理空间数据。然而,当将要素类型的属性名称传递给在评估 XPath 表达式时可执行代码的库时,GeoServer 未能安全地评估这些属性名称。这导致所有 GeoServer 实例都受到影响。
影响范围与解决方案
维护人员指出,由于 XPath 评估被错误地应用于简单要素类型,而不是复杂要素类型,该漏洞影响所有 GeoServer 实例,且可通过各种类型的请求被利用。
GeoServer 已发布更新版(2.23.6、2.24.4 和 2.25.2)以修复该漏洞。此外,GeoTools 也发布了更新以修补 CVE-2024-36404,这是另一个与 XPath 表达式评估相关的远程代码执行漏洞,CVSS 评分同样为 9.8。
用户可以通过从服务器中删除“gt-complex-xyjar”文件(“x.y”代表 GeoTools 版本)来缓解漏洞风险。尽管这会删除易受攻击的代码,但可能会破坏某些 GeoServer 功能,因此需要谨慎操作。
CISA 的紧急呼吁
CISA 已将 CVE-2024-36401 添加到其已知利用漏洞(KEV)目录中,并敦促联邦机构在 8 月 5 日之前识别并修补其环境中的漏洞实例。尽管《具有约束力的操作指令》(BOD)22-01)仅适用于联邦机构,但 CISA 强烈建议所有组织查看其 KEV 列表,并采取必要措施保护其环境。
为什么要立即行动?
虽然 CISA 尚未提供有关野外利用的具体细节,但现有证据表明该漏洞正在被积极利用。未修补的 GeoServer 实例面临巨大的安全风险,攻击者可以利用该漏洞进行远程代码执行,导致数据泄露、服务中断甚至更严重的后果。
总结
GeoServer 的严重漏洞 CVE-2024-36401 为所有使用该软件的组织敲响了警钟。保护地理空间数据的安全至关重要,及时更新和修补软件是防止安全漏洞被利用的有效手段。CISA 的紧急呼吁表明了问题的紧迫性,希望所有受影响的组织立即采取行动,确保其系统和数据的安全。
