개요
GeoServer(https://geoserver.org/)와 GeoTools(https://geotools.org/)는 공급한 제품의 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
- GeoServer 버전: ~ 2.23.6(제외)
- GeoServer 버전: 2.24.0(포함) ~ 2.24.4(제외)
- GeoServer 버전: 2.25.0(포함) ~ 2.25.2(제외)
- GeoTools 버전: ~ 29.6(제외)
- GeoTools 버전: 30.0(포함) ~ 30.4(제외)
- GeoTools 버전: 31.0(포함) ~ 31.2(제외)
해결된 취약점
여러 개의 OGC 요청 매개변수로 인해 인증되지 않은 사용자가 특별히 제작된 입력을 통해 기본 GeoServer 설치에 대한 원격 코드 실행(RCE)을 수행할 수 있는 취약점(GeoServer)
특정 GeoTools 기능을 사용하여 사용자 입력으로 제공된 XPath 표현식을 평가하는 경우 원격 코드 실행(RCE)을 수행할 수 있는 취약점(GeoTools)
취약점 패치
- GeoServer 버전: 2.23.6
- GeoServer 버전: 2.24.4
- GeoServer 버전: 2.25.2
- GeoTools 버전: 29.6
- GeoTools 버전: 30.4
- GeoTools 버전: 31.2
참고 사이트
[1] CVE-2024-36401 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-36401
[2] Remote Code Execution (RCE) vulnerability in geoserver
https://github.com/advisories/GHSA-6jj6-gm7p-fcvv
[3] Remote Code Execution (RCE) vulnerability in evaluating XPath expressions
https://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8w