Afgelopen week heeft GeoServer een aantal kwetsbaarheden gepubliceerd betreffende Spring4Shell, Jiffle en JNDI lookups. Eerder hebben wij al aandacht besteed aan Spring4Shell, welke niet van toepassing is op Obsurv en WIBON. Jiffle en JNDI lookups zijn echter nieuwe kwetsbaarheden, welke onlangs zijn aangemerkt met CVE-2022-24816 en CVE-2022-24847. Ook deze componenten zijn Java libraries die gebruikt kunnen worden zonder dat men zich daarvan bewust is.
Obsurv
Voor Obsurv zijn de kwetsbaarheden met de aanduiding CVE-2022-24816 en CVE-2022-24847 niet van toepassing. Jiffle is in de gebruikte versie van GeoServer niet aanwezig in Obsurv. Daarnaast maakt deze versie van Geoserver geen gebruik van JNDI lookups. Door deze kwetsbaarheden hebben wij geconstateerd dat GeoServer informatie deelt via een URL. Deze hebben wij inmiddels voor alle Obsurv Hosting omgevingen afgeblokt.
Obsurv on-premise
Voor alle organisaties die zelf Obsurv hosten is het advies om onderstaande GeoServer URL af te blokken door jouw ICT-organisatie:
https://obsurv.klant.nl/geoserver/rest*
Naast bovenstaande URL hebben wij tot heden ook altijd geadviseerd om onderstaande URL’s te blokkeren. Mocht dit nog niet zijn gedaan is het advies om ook deze URL’s af te blokken door jouw ICT organisatie:
https://obsurv.klant.nl/geoserver/web/*
https://obsurv.klant.nl/jasperreportsintegration/*
https://obsurv.klant.nl/apex/f?p=4550
Wibon
Ook bij WIBON zijn de kwetsbaarheden met de aanduiding CVE-2022-24816 en CVE-2022-24847 niet van toepassing. Jiffle is in de gebruikte versie van GeoServer niet aanwezig in de WIBON applicatie. Daarnaast maakt deze versie van Geoserver ook geen gebruik van JNDI lookups. Ook zijn bovenstaande URL’s afgeblokt voor de WIBON applicatie.
Meer informatie
Meer informatie over de kwetsbaarheden en het bijbehorende advies is te vinden op de website van GeoServer.
We houden je op de hoogte
Bij wijzingen en nieuwe ontwikkelingen zullen we je via nieuwsberichten op deze website op de hoogte houden.
Houd onze berichtgeving in de gaten. Heb je nog specifieke vragen? Neem dan contact op met de helpdesk: [email protected] of +31 800-022 44 01 of neem contact op met jouw Sweco-adviseur.
