漏洞描述:
GeoServer是一个用Java编写的开源服务器,它允许用户共享、处理和编辑地理空间数据,为了互操作性而设计,它使用开源标准发布来自任何主要空间数据源的数据,近日监测到GeoServer安全公告,其中公开修复了一个GeoServer中的路径遍历漏洞,经过认证的攻击者可以利用该漏洞读取任意文件,或者覆盖关键文件造成拒绝服务攻击甚至进行远程代码执行,漏洞编号:CVE-2023-41877。
该漏洞主要通过修改日志文件的路径为要读取的文件路径,然后在日志控制台即可获取对应文件的内容。
影响版本:
GeoServer<=2.23.4
修复建议:
正式防护方案:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本,官方已发布新版本中修复上述漏洞,受影响用户请尽快升级到安全版本。
解决方法:
系统管理员负责运行GeoServer可以定义 GEOSERVER_LOG_FILE 参数,
的GEOSERVER_LOG_LOCATION参数可以设置的系统性、环境变量,或者servlet方面的参数。
环境变量:
export GEOSERVER_LOG_LOCATION=/var/opt/geoserver/logs
系统性:
-DGEOSERVER_LOG_LOCATION=/var/opt/geoserver/logs
网络应用程序WEB-INF/web.xml:
<context-param>
<param-name> GEOSERVER_LOG_LOCATION </param-name>
<param-value>/var/opt/geoserver/logs</param-value>
</context-param>
Tomcat conf/Catalina/localhost/geoserver.xml :
<Context>
<Parameter name="GEOSERVER_LOG_LOCATION"
value="/var/opt/geoserver/logs" override="false"/>
</Context>
漏洞修复版本:
GeoServer > 2.23.4
参考链接:
https://github.com/geoserver/geoserver/releases
原文始发于微信公众号(飓风网络安全):【漏洞预警】GeoServer 路径遍历漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论