INHOUDSOPGAVE
Beveiligingsissues in KaartViewer
Jaarlijks wordt er door het bedrijf Whitehats een pentest op de KaartViewer software uitgevoerd. Resultaten van de PenTest worden zo spoedig mogelijk verwerkt in de KaartViewer code.
Beveiligingsmeldingen
Op de website van het digital trust center zijn beveiligingsmeldingen te vinden. https://www.digitaltrustcenter.nl/cyberalerts
Bij twijfel over een beveiligingsmelding kan contact met Support desk van GeoNovation worden opgenomen. GeoNovation zal dit dan onderzoeken en waar nodig actie ondernemen. In de onderstaande lijst staan eerdere beveiligingsmeldingen en de acties die op basis daarvan genomen moeten worden.
________________________________________________________________________________________________________________________
OGC Filter SQL Injection Kwetsbaarheden in GeoServer (CVE-2023-25157 en CVE-2023-25158)
dd: 23-2-2023
Meer informatie:
Officiële meldingen: CVE - CVE-2023-25157 (mitre.org) en CVE - CVE-2023-25158 (mitre.org)
GeoServer blog: https://geoserver.org/vulnerability/2023/02/20/ogc-filter-injection.html
In GeoServer zijn diverse mogelijkheden gevonden voor SQL injecties. De beschikbare update (Geoserver 2.20.7 of GeoServer 2.21.4) moeten worden geinstalleerd om deze kwetsbaarheden te voorkomen. GeoNovation heeft gepland om de hosting omgeving bij te werken op vrijdag middag 24 februari. Deze update zal kosteloos worden uitgevoerd.
Klanten die GeoServer zelf hosten kunnen contact opnemen met de helpdesk om een afspraak voor een update in te plannen. De kosten voor het installeren van de update (één uur) zullen worden doorbelast.
___________________________________________________________________________________________________________________
Kwetsbaarheden in OpenSSL (CVE-2022-3602 en CVE-2022-3786)
dd 1-11-2022
Meer informatie:
Officiële meldingen: CVE - CVE-2022-3602 (mitre.org) en CVE - CVE-2022-3786 (mitre.org)
Meldingen nationaal cyber security centrum: https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0685
Dit issue is alleen van toepassing op open ssl 3.0.x. In onze Windows en linux installaties maken wij nog gebruik van OpenSSL versie 1.1.1.
Kwetsbaarheid in Apache Commons Text (CVE-2022-42889)
dd 18-10-2022
Meer informatie
Officiele melding: CVE - CVE-2022-42889 (mitre.org)
Melding Nationaal cyber security centrum (https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0650)
Apache Commons Text wordt gebruikt in GeoServer en in MapFish.
GeoServer
In GeoServer wordt versie 1.4 van Apache Common Text gebruikt. Deze versie is niet kwetsbaar. Voor GeoServer is dus geen actie nodig.
MapFish
In MapFish wordt versie 1.6 van Apache Common Text gebruikt. MapFish is dus kwetsbaar voor dit beveiligingsissue. Om MapFish uit te schakelen moeten de volgende stappen worden ondernomen:
- Stop de service tomcat9*mapfish
- Schakel in KaartViewer beheer de print functie uit. Dit kan het eenvoudigst worden gedaan door bij Instellingen > Menu knopppen rechts de rechten van de PDF print knop te ontnemen.
Uiteraard hopen we dat het probleem in MapFish snel wordt bijgewerkt.
Update dd 15-11-2022
Helaas is er vanuit MapFish nog geen oplossing. Als work arround kan de laatste versie van Apache Commons Text worden geinstalleerd in de MapFish installatie. Download van https://commons.apache.org/proper/commons-text/download_text.cgi de binaries versie en pak deze uit.
Kopieer het bestand commons-text-1.10.0.jar uit de zip naar de installatiemap van de Apache Tomcat voor en daarin webapps\print\WEB-INF\lib. Stop de MapFish service. Verwijder in de map webapps\print\WEB-INF\lib het bestand commons-text-1.6.jar en hernoem het bestand commons-text-1.10.0.jar naar commons-text-1.6.jar. Start de MapFish service.
GeoNovation heeft voor de stappen ook een powershell script ter beschikking. Deze kan via de helpdesk worden aangevraagd.