米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、OSGeo GeoServer GeoToolsに影響する重大なセキュリティ欠陥が積極的に悪用されているとして、その欠陥を既知の悪用された脆弱性(KEV)カタログに追加した。この脆弱性は、CVE-2024-36401として追跡され、CVSSスコアは9.8である。特に作成された入力を通じてリモートコード実行(RCE)を引き起こす可能性がある。GeoServerはJavaで書かれたオープンソースのソフトウェアサーバーであり、ユーザーが地理空間データを共有および編集できるようにする。この問題は、バージョン2.23.6、2.24.4、および2.25.2で対処された。
また、GeoToolsの特定の機能を使用してユーザー入力によって提供されたXPath式を評価するアプリケーションでは、別の重大な脆弱性(CVE-2024-36404、CVSSスコア:9.8)もRCEを引き起こす可能性があるとされ、これもバージョン29.6、30.4、および31.2で修正された。CVE-2024-36401の積極的な悪用を受け、連邦機関は2024年8月5日までにベンダー提供の修正を適用することが求められている。
さらに、Ghostscriptドキュメント変換ツールキットのリモートコード実行脆弱性(CVE-2024-29510)が積極的に悪用されているとの報告があり、これは-dSAFERサンドボックスを回避して任意のコードを実行するために利用されている。この脆弱性は、2024年3月14日にCodean Labsによって責任を持って開示された後、バージョン10.03.1で対処された。
【ニュース解説】
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が、OSGeo GeoServer GeoToolsに影響する重大なセキュリティ欠陥が積極的に悪用されていると警告しました。この脆弱性は、CVE-2024-36401として識別され、CVSSスコアは9.8と非常に高いリスクを示しています。特に作成された入力を通じてリモートコード実行(RCE)を引き起こす可能性があるとされています。GeoServerは、Javaで書かれたオープンソースのソフトウェアサーバーで、ユーザーが地理空間データを共有および編集できるように設計されています。
この脆弱性は、GeoServerのデフォルトインストールに対して、特定のOGCリクエストパラメータを通じて、認証されていないユーザーによるリモートコード実行を可能にするものです。これは、プロパティ名をXPath式として安全でない方法で評価することにより発生します。この問題は、バージョン2.23.6、2.24.4、および2.25.2で修正されています。
また、GeoToolsの特定の機能を使用してユーザー入力によって提供されたXPath式を評価するアプリケーションで発生する可能性のある、別の重大な脆弱性(CVE-2024-36404、CVSSスコア:9.8)も修正されました。この脆弱性も、バージョン29.6、30.4、および31.2で対処されています。
これらの脆弱性の積極的な悪用により、連邦機関には2024年8月5日までにベンダー提供の修正を適用することが求められています。このようなセキュリティ上の脆弱性は、攻撃者がシステムに不正アクセスし、機密情報を盗み出したり、システムを乗っ取ったりするために利用される可能性があります。
この問題の解決には、影響を受けるバージョンを使用している組織や個人が速やかにパッチを適用することが重要です。また、セキュリティ対策の一環として、ソフトウェアの最新のセキュリティパッチを定期的に適用し、不正アクセスを防ぐための適切な監視と警告システムを設置することが推奨されます。
このような脆弱性の発見と修正は、オープンソースソフトウェアのセキュリティを強化し、サイバー攻撃からユーザーを守るために不可欠です。しかし、攻撃者が新たな脆弱性を見つけ出し、悪用する可能性は常に存在するため、セキュリティ対策は継続的な努力が必要です。
from CISA Warns of Actively Exploited RCE Flaw in GeoServer GeoTools Software.