| 27. Juni 2015
GeoServer XEE Sicherheitslücke
In der GeoServer Software ist eine XML External Entity ( XEE ) Sicherheitslücke entdeckt worden, die nicht authentifizierte Lesezugriffe auf Server-Dateien ermöglicht.
Diese Schwachstelle wird in den folgenden Versionen behoben und wir empfehlen allen Benutzern dringend auf diese zu aktualisieren:
- GeoServer 2.7.1.1 ( bin , war , dmg und exe ) - stabile Version
- GeoServer 2.6.4 ( bin , war , dmg und exe ) - Wartungsversion
- GeoServer 2.5.1.1 ( bin , war und exe )
Vielen Dank an Ben Caradoc-Davies ( Transient Software ) für die Bereitstellung der Wartungsversion und an Jody Garnett ( Boundless ) und Andrea Aime ( GeoSolutions ) für die oben genannten außerplanmäßigen Patch-Versionen.
Falls Sie Unterstützung beim Upgrade Ihrer GeoServer-Instanzen auf eine der o. g. sicheren Versionen benötigen kontaktieren Sie uns.
Wenn Sie eine frühere Version von GeoServer in Betrieb haben und eine entsprechende Patch-Version benötigen kontaktieren Sie bitte die kommerziellen Support -Anbieter des GeoServer Projekts oder besuchen die GeoServer-devel Liste um sich entsprechend einzubringen.
Über XEE
Für weitere Informationen über XEE können Sie unter owasp Artikel über XML External Entity Processing und XML External Entity Attack finden (für GeoServer-devel von Johannes Kröger).
Verantwortungsvoller Umgang mit Sicherheitslücken
Wenn Sie eine Sicherheitslücke in GeoServer, oder in jedem anderen Open-Source-Software, feststellen, achten Sie bitte darauf das Problem in einer verantwortungsvollen Art und Weise zu übermitteln:
- Vermeiden Sie Details in öffentlichen Problemberichten
- Kontaktieren Sie die Entwickler / das PSC auf nicht-öffentlichen Kanälen bzw. über private Nachrichten
- Seien Sie bereit mit den PSC-Mitgliedern an einer Lösung zu arbeiten
- Wenn es Ihnen nicht möglich ist über die öffentlichen Issue Tracker zu kommunizieren wenden Sie sich bitte direkt an die PSC-Mitglieder (oder kontaktieren Sie info@osgeogeo.org)
- Denken Sie daran: Die PSC-Mitglieder sind ehrenamtlich tätig und ein umfangreiches Update wird unter Umständen Spenden / Sponsoring oder auch Ressourcen erfordern
Die Überarbeitung des GeoServer Developers Guide erfolgt in den kommenden Tagen.
Diese Meldung basiert auf der englischen Originalmeldung des GeoServer Blogs und kann unter http://blog.geoserver.org/2015/06/27/geoserver-xee-vulnerability/ aufgerufen werden.