Bonjour,
On nous a annoncé une vulnérabilité sérieuse touchant GeoServer, un risque d'injection SQL dans les vues paramétriques.
Une correction devrait sortir très prochainement pour toutes les versions récentes de GeoServer. Plusieurs personnes de la communauté geOrchestra sont déjà sur le coup pour sortir dès que possible une version correspondante, pour geOrchestra.
En attendant, le plus prudent est de passer en mode read-only les utilisateur postgresql que vous utilisez dans les configs de vos entrepôts postgis.
---
Hello
We have been informed of a high vulnerability on GeoServer, a risk of SQL injection in the parametrized SQL views.
A fix should arrive very soon now for every recent GeoServer version. Several people of the geOrchestra community are already working on providing ASAP a matching version, for geOrchestra
In the mean-time, as a mitigation quick-fix, you should change to read-only mode every postgresql users that you are using in postgis datastores
Jean, pour le PSC
--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
Site web : http://www.georchestra.org
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/db55710f-836f-4a90-b81f-0d6eee334671n%40googlegroups.com.
--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
Site web : http://www.georchestra.org
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes georchestra.
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/b1dbead6-63be-f2e9-c016-391103bf65fd%40craig.fr.
Complément d'information : Pierre Mauduit a corrigé le build de l'image docker pour la branche 20.1, vous pouvez donc utiliser le tag 20.1.x, il est à jour
Je me permet de reprendre ces infos dans un second mail, en
anglais, pour les non-francophones
Jean Pommier -- pi-Geosolutions
Ingénieur, consultant indépendant
Tél. : (+33) 6 09 23 21 36
E-mail : j...@pi-geosolutions.fr
Web : www.pi-geosolutions.fr
linkedin : jean-pommier
Hello,
To non-french speaking people, we have
forgotten to translate a few informations. Sorry for that.
Here are the informations recently provided by Landry.
The corrections have been published, cf
https://geoserver.org/vulnerability/2023/02/20/ogc-filter-injection.html
and
https://github.com/geoserver/geoserver/security/advisories/GHSA-7g5f-wrx8-5ccf
they have been integrated into the stable
branches of georchestra (cf
https://github.com/georchestra/georchestra/pull/3901/ and
https://github.com/georchestra/georchestra/pull/3902/), so
updates
for georchestra including well geoserver 2.18.7 / geotools
24.7 are available:
- for those who use debian packages from the
community CI on https://packages.georchestra.org/, those
versioned georchestra-geoserver_22.0.5.202302221125~ada3c73
or georchestra-geoserver_20.1.7.202302221159~f55a3dd (and
later) are up to date
- for those who use CI wars,
https://packages.georchestra.org/bot/wars/22.0.x/geoserver-generic.war
and https://packages.georchestra.org/bot/wars/20.1.x/geoserver-generic.war
are up to date
- for those using 'vanilla' geoservers it is
advisable to update to the latest minor version of the
branch used
- for those on older branches (<=2.17) it
will be advisable to switch to newer versions, older
versions of geoserver no longer receiving security updates.
- finally, for those using docker, you can use the 22.0.x or 20.1.x tags from https://hub.docker.com/r/georchestra/geoserver/, they are up-to-date
Jean
Jean Pommier -- pi-Geosolutions
Ingénieur, consultant indépendant
Tél. : (+33) 6 09 23 21 36
E-mail : j...@pi-geosolutions.fr
Web : www.pi-geosolutions.fr
linkedin : jean-pommier
--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
Site web : http://www.georchestra.org
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/CALUhiAm0vDY_-%2BjnD%3DTv0WZP0garkJxs_KSFXf2Ci-czmRH%2BYA%40mail.gmail.com.
Voici une annonce pour la disponibilité de ces 2 nouvelles versions de geOrchestra
https://www.georchestra.org/blog/2023/02/24/georchestra-20.1.8-22.0.6-fr/
+ https://twitter.com/georchestra/status/1629083473095925761
De : Jean Pommier <ige3...@gmail.com> De la part de Jean Pommier
Envoyé : mercredi 22 février 2023 16:48
À : georc...@googlegroups.com
Objet : [NEWSLETTER] Re: [georchestra] Mise à jour de sécurité geoserver
Complément d'information : Pierre Mauduit a corrigé le build de l'image docker pour la branche 20.1, vous pouvez donc utiliser le tag 20.1.x, il est à jour
Je me permet de reprendre ces infos dans un second mail, en anglais, pour les non-francophones
Jean Pommier -- pi-Geosolutions
Ingénieur, consultant indépendant
Tél. : (+33) 6 09 23 21 36
E-mail : j...@pi-geosolutions.fr
Web : www.pi-geosolutions.fr
linkedin : jean-pommier
Le 22/02/2023 à 14:00, Landry Breuil a écrit :
Les corrections ont été publiées, cf
https://geoserver.org/vulnerability/2023/02/20/ogc-filter-injection.html
et
https://github.com/geoserver/geoserver/security/advisories/GHSA-7g5f-wrx8-5ccf
ces dernières ont été intégrées dans les branches stables de georchestra (cf https://github.com/georchestra/georchestra/pull/3901/ et https://github.com/georchestra/georchestra/pull/3902/), donc
des mises à jour pour georchestra incluant bien geoserver 2.18.7 / geotools 24.7 sont disponibles:
- pour ceux qui utilisent les paquets debian venant de la CI communautaire sur https://packages.georchestra.org/, ceux versionnés georchestra-geoserver_22.0.5.202302221125~ada3c73 ou georchestra-geoserver_20.1.7.202302221159~f55a3dd (et ultérieurs) sont à jour
- pour ceux qui utilisent les wars de la CI, https://packages.georchestra.org/bot/wars/22.0.x/geoserver-generic.war et https://packages.georchestra.org/bot/wars/20.1.x/geoserver-generic.war sont a jour
- pour ceux utilisant des geoserver 'vanilla' il est conseillé de mettre à jour vers la dernière version mineure de la branche utilisée
pour ceux sur des branches plus anciennes (<=2.17) il sera conseillé de switcher sur des versions plus nouvelles, les versions plus anciennes de geoserver ne recevant plus de mises à jour de sécurité.
enfin, pour ceux utilisant docker, je ne sais pas comment ça fonctionne mais a priori il y'a une image de la branche 22.0.x datant d'il y'a 3h sur https://hub.docker.com/r/georchestra/geoserver/ donc celle-ci doit être à jour. Pour la branche 20.1.x, aucune idée..
--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
Site web : http://www.georchestra.org
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/1ecfc624-1083-4cd8-0267-e250e961249b%40pi-geosolutions.fr.
Here is an announcement for the availability of these 2 new versions of geOrchestra
https://www.georchestra.org/blog/2023/02/24/georchestra-20.1.8-22.0.6-en/
+ https://twitter.com/georchestra/status/1629083986608750592
De : georc...@googlegroups.com <georc...@googlegroups.com> De la part de Martin Pukancik
Envoyé : jeudi 23 février 2023 14:14
À : georchestra <georc...@googlegroups.com>
Objet : [NEWSLETTER] Re: [georchestra] Mise à jour de sécurité geoserver / geoserver security upgrade
Jean Pommier -- pi-Geosolutions
Ingénieur, consultant indépendant
Tél. : (+33) 6 09 23 21 36
E-mail : j...@pi-geosolutions.fr
Web : www.pi-geosolutions.fr
linkedin : jean-pommier
Le 21/02/2023 à 11:23, geOrchestra PSC a écrit :
Bonjour,
On nous a annoncé une vulnérabilité sérieuse touchant GeoServer, un risque d'injection SQL dans les vues paramétriques.
Une correction devrait sortir très prochainement pour toutes les versions récentes de GeoServer. Plusieurs personnes de la communauté geOrchestra sont déjà sur le coup pour sortir dès que possible une version correspondante, pour geOrchestra.
En attendant, le plus prudent est de passer en mode read-only les utilisateur postgresql que vous utilisez dans les configs de vos entrepôts postgis.
---
Hello
We have been informed of a high vulnerability on GeoServer, a risk of SQL injection in the parametrized SQL views.
A fix should arrive very soon now for every recent GeoServer version. Several people of the geOrchestra community are already working on providing ASAP a matching version, for geOrchestra
In the mean-time, as a mitigation quick-fix, you should change to read-only mode every postgresql users that you are using in postgis datastores
Jean, pour le PSC
--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
Site web : http://www.georchestra.org
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/CALUhiAm0vDY_-%2BjnD%3DTv0WZP0garkJxs_KSFXf2Ci-czmRH%2BYA%40mail.gmail.com.
--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
Site web : http://www.georchestra.org
---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/3c467db7-4cdb-4fa1-802f-e90b42d4fec6n%40googlegroups.com.