Mise à jour de sécurité geoserver

[geOrchestra PSC]

Bonjour,

On nous a annoncé une vulnérabilité sérieuse touchant GeoServer, un risque d'injection SQL dans les vues paramétriques.

Une correction devrait sortir très prochainement pour toutes les versions récentes de GeoServer. Plusieurs personnes de la communauté geOrchestra sont déjà sur le coup pour sortir dès que possible une version correspondante, pour geOrchestra.

En attendant, le plus prudent est de passer en mode read-only les utilisateur postgresql que vous utilisez dans les configs de vos entrepôts postgis.

---

Hello

We have been informed of a high vulnerability on GeoServer, a risk of SQL injection in the parametrized SQL views.

A fix should arrive very soon now for every recent GeoServer version. Several people of the geOrchestra community are already working on providing ASAP a matching version, for geOrchestra

In the mean-time, as a mitigation quick-fix, you should change to read-only mode every postgresql users that you are using in postgis datastores

Jean, pour le PSC

[Landry Breuil]

On 21/02/2023 11:23, geOrchestra PSC wrote:
> Bonjour,
>
> On nous a annoncé une vulnérabilité sérieuse touchant GeoServer, un
> risque d'injection SQL dans les vues paramétriques.
>
> Une correction devrait sortir très prochainement pour toutes les
> versions récentes de GeoServer. Plusieurs personnes de la communauté
> geOrchestra sont déjà sur le coup pour sortir dès que possible une
> version correspondante, pour geOrchestra.
>
> En attendant, le plus prudent est de passer en mode read-only les
> utilisateur postgresql que vous utilisez dans les configs de vos
> entrepôts postgis.

Et pour plus de détails sur les versions de georchestra et geoserver:
- la branches 20.0.x de georchestra est sur geoserver 2.17.5 et geotools
23, il n'est a priori pas prévu de mise à jour de sécurité pour ces
versions relativement anciennes - ca nécessiterait de backporter les
corrections dans une branch custom de geotools et d'utiliser cette
derniere dans la branche 2.17.5-georchestra du repository
georchestra/geoserver
- les branches 20.1.x et 22.0.x de georchestra sont sur geoserver 2.18.6
et geotools 24.6, la mise a jour vers geoserver 2.18.7 et geotools 24.7
corrigera le problème pour ces branches stables (même si logiquement
uniquement les branches 2.22 et 2.21 ont une garantie de mise a jour de
sécurité, geosolutions fait l'effort de backporter la correction sur les
branches 2.18/2.19/2.20)
- la branche master de georchestra est sur geoserver 2.20.4, et il est a
priori prévu une montée de version en 2.22.2 qui aura aussi la correction

--
Landry Breuil
Responsable Informatique
04 44 05 12 42

----------------------------------------------------------------------------
Centre Régional Auvergne-Rhône-Alpes de l'Information Géographique
Hôtel de région
59 Boulevard Léon Jouhaux - CS 90706
63050 Clermont-Ferrand Cedex 2

https://www.craig.fr <https://www.craig.fr> - @GipCraig

----------------------------------------------------------------------------
> Support utilisateurs (tous les jours ouvrés de 8H30 à 12H30) : 09 72
62 25 31

[Benjamin Chartier]

Bonjour,

N'étant pas pas un spécialiste des tréfonds de geOrchestra, je me demande si la même faille pourrait concerner également d'autres outils de geOrchestra utilisant GeoTools ?

Benjamin

[Landry Breuil]

On 21/02/2023 14:40, Benjamin Chartier wrote:
> Bonjour,
>
> N'étant pas pas un spécialiste des tréfonds de geOrchestra, je me
> demande si la même faille pourrait concerner également d'autres outils
> de geOrchestra utilisant GeoTools ?

Probablement. Les branches corrigées de geotools vont de 24 a 28, cf
https://osgeo-org.atlassian.net/browse/GEOT-7302 - toutes les autres
étant dépréciées et probablement affectées aussi.

en master:
$git grep gt.version|grep -v '\$'
atlas/pom.xml: <gt.version>14.3</gt.version>
console/pom.xml: <gt.version>27.2</gt.version>
datafeeder/pom.xml: <gt.version>26.4</gt.version>
geoserver/pom.xml: <gt.version>26.4</gt.version>
geowebcache-webapp/pom.xml: <gt.version>22.1</gt.version>
mapfishapp/pom.xml: <gt.version>26.1</gt.version>
pom.xml: <gt.version>26.4</gt.version>

[Benjamin Chartier]

Oh, ça fait une sacrée liste.

MapStore n'est pas impacté ?

Benjamin

[Landry Breuil]

On 21/02/2023 15:07, Benjamin Chartier wrote:
> Oh, ça fait une sacrée liste.
> MapStore n'est pas impacté ?

Pour moi le backend en java de MapStore fait très peu de choses (rien de
geospatial), donc à ma connaissance il n'utilise pas geotools.

[Simone Giannecchini]

MapStore n'est pas impacté.

GeoTools versions que nous allons publier sont 24.7, 25.7, 26.7, 27.4 et 28.2.

Regards,

Simone Giannecchini
==
Online training classes for GeoNode, GeoServer and MapStore from the experts!
Visit https://www.geosolutionsgroup.com/professional-training/ for more information.
==
Ing. Simone Giannecchini
@simogeo
Founder/Director GeoSolutions Italy

President GeoSolutions USA

phone: +39 0584 962313
fax:     +39 0584 1660272
mob:   +39  333 8128928

US: +1 (845) 547-7905

http://www.geosolutionsgroup.com
http://twitter.com/geosolutions_it

-------------------------------------------------------
This email is intended only for the person or entity to which it is addressed and may contain information that is privileged, confidential or otherwise protected from disclosure. We remind that - as provided by European Regulation 2016/679 “GDPR” - copying, dissemination or use of this e-mail or the information herein by anyone other than the intended recipient is prohibited. If you have received this email by mistake, please notify us immediately by telephone or e-mail.

--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
 
Site web : http://www.georchestra.org

---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.
Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/db55710f-836f-4a90-b81f-0d6eee334671n%40googlegroups.com.

[Landry Breuil]

On 21/02/2023 11:23, geOrchestra PSC wrote:

> Bonjour,
>
> On nous a annoncé une vulnérabilité sérieuse touchant GeoServer, un
> risque d'injection SQL dans les vues paramétriques.
>
> Une correction devrait sortir très prochainement pour toutes les
> versions récentes de GeoServer. Plusieurs personnes de la communauté
> geOrchestra sont déjà sur le coup pour sortir dès que possible une
> version correspondante, pour geOrchestra.

Les corrections ont été publiées, cf
https://geoserver.org/vulnerability/2023/02/20/ogc-filter-injection.html
et
https://github.com/geoserver/geoserver/security/advisories/GHSA-7g5f-wrx8-5ccf

ces dernières ont été intégrées dans les branches stables de georchestra
(cf https://github.com/georchestra/georchestra/pull/3901/ et
https://github.com/georchestra/georchestra/pull/3902/), donc
des mises à jour pour georchestra incluant bien geoserver 2.18.7 /
geotools 24.7 sont disponibles:

- pour ceux qui utilisent les paquets debian venant de la CI
communautaire sur https://packages.georchestra.org/, ceux versionnés
georchestra-geoserver_22.0.5.202302221125~ada3c73 ou
georchestra-geoserver_20.1.7.202302221159~f55a3dd (et ultérieurs) sont à
jour

- pour ceux qui utilisent les wars de la CI,
https://packages.georchestra.org/bot/wars/22.0.x/geoserver-generic.war
et
https://packages.georchestra.org/bot/wars/20.1.x/geoserver-generic.war
sont a jour

- pour ceux utilisant des geoserver 'vanilla' il est conseillé de mettre
à jour vers la dernière version mineure de la branche utilisée

pour ceux sur des branches plus anciennes (<=2.17) il sera conseillé de
switcher sur des versions plus nouvelles, les versions plus anciennes de
geoserver ne recevant plus de mises à jour de sécurité.

enfin, pour ceux utilisant docker, je ne sais pas comment ça fonctionne
mais a priori il y'a une image de la branche 22.0.x datant d'il y'a 3h
sur https://hub.docker.com/r/georchestra/geoserver/ donc celle-ci doit
être à jour. Pour la branche 20.1.x, aucune idée..

--
Landry Breuil - pour le PSC

[François Van Der Biest]

Merci Landry !

--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra

Site web : http://www.georchestra.org

---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes georchestra.
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.

Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/b1dbead6-63be-f2e9-c016-391103bf65fd%40craig.fr.

[Benjamin Chartier]

Gros merci à ceux ont participé à la correction (qu'ils soient visibles ou non).

Benjamin

[Jean Pommier]

Complément d'information : Pierre Mauduit a corrigé le build de l'image docker pour la branche 20.1, vous pouvez donc utiliser le tag 20.1.x, il est à jour

Je me permet de reprendre ces infos dans un second mail, en anglais, pour les non-francophones

Jean Pommier -- pi-Geosolutions

Ingénieur, consultant indépendant

Tél. : (+33) 6 09 23 21 36
E-mail : j...@pi-geosolutions.fr
Web : www.pi-geosolutions.fr
linkedin : jean-pommier

[Jean Pommier]

Hello,

To non-french speaking people, we have forgotten to translate a few informations. Sorry for that. Here are the informations recently provided by Landry.

The corrections have been published, cf

https://geoserver.org/vulnerability/2023/02/20/ogc-filter-injection.html

and

https://github.com/geoserver/geoserver/security/advisories/GHSA-7g5f-wrx8-5ccf

they have been integrated into the stable branches of georchestra (cf https://github.com/georchestra/georchestra/pull/3901/ and https://github.com/georchestra/georchestra/pull/3902/), so updates for georchestra including well geoserver 2.18.7 / geotools 24.7 are available:

- for those who use debian packages from the community CI on https://packages.georchestra.org/, those versioned georchestra-geoserver_22.0.5.202302221125~ada3c73 or georchestra-geoserver_20.1.7.202302221159~f55a3dd (and later) are up to date

- for those who use CI wars, https://packages.georchestra.org/bot/wars/22.0.x/geoserver-generic.war and https://packages.georchestra.org/bot/wars/20.1.x/geoserver-generic.war are up to date

- for those using 'vanilla' geoservers it is advisable to update to the latest minor version of the branch used

- for those on older branches (<=2.17) it will be advisable to switch to newer versions, older versions of geoserver no longer receiving security updates.

- finally, for those using docker, you can use the 22.0.x or 20.1.x tags from https://hub.docker.com/r/georchestra/geoserver/, they are up-to-date

Jean

Jean Pommier -- pi-Geosolutions

Ingénieur, consultant indépendant

Tél. : (+33) 6 09 23 21 36
E-mail : j...@pi-geosolutions.fr
Web : www.pi-geosolutions.fr
linkedin : jean-pommier

--

--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
 
Site web : http://www.georchestra.org

---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.

Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/CALUhiAm0vDY_-%2BjnD%3DTv0WZP0garkJxs_KSFXf2Ci-czmRH%2BYA%40mail.gmail.com.

[Martin Pukancik]

Thank you Jean and all geOrchestra team members for fixing this problem, and also for upgrading at our Geoportal.

With best regards

 

Ing. Martin Pukančík

Department of Regional Development

head of GIS department

 

________________________

Košice Self-governing Region

Námestie Maratónu mieru 1

042 66 Košice

E-mail: martin....@vucke.sk

Tel.: +421 55 7268 431

www.geoportalksk.sk

www.vucke.sk

Dátum: streda 22. februára 2023, čas: 16:50:57 UTC+1, odosielateľ: Jean Pommier

[Maël REBOUX]

Voici une annonce pour la disponibilité de ces 2 nouvelles versions de geOrchestra

 

https://www.georchestra.org/blog/2023/02/24/georchestra-20.1.8-22.0.6-fr/

 

+ https://twitter.com/georchestra/status/1629083473095925761

 

 

 

De : Jean Pommier <ige3...@gmail.com> De la part de Jean Pommier
Envoyé : mercredi 22 février 2023 16:48
À : georc...@googlegroups.com
Objet : [NEWSLETTER] Re: [georchestra] Mise à jour de sécurité geoserver

 

Complément d'information : Pierre Mauduit a corrigé le build de l'image docker pour la branche 20.1, vous pouvez donc utiliser le tag 20.1.x, il est à jour

Je me permet de reprendre ces infos dans un second mail, en anglais, pour les non-francophones

Jean Pommier -- pi-Geosolutions

Ingénieur, consultant indépendant

Tél. : (+33) 6 09 23 21 36
E-mail : j...@pi-geosolutions.fr
Web : www.pi-geosolutions.fr
linkedin : jean-pommier

Le 22/02/2023 à 14:00, Landry Breuil a écrit :

Les corrections ont été publiées, cf
https://geoserver.org/vulnerability/2023/02/20/ogc-filter-injection.html
et
https://github.com/geoserver/geoserver/security/advisories/GHSA-7g5f-wrx8-5ccf

ces dernières ont été intégrées dans les branches stables de georchestra (cf https://github.com/georchestra/georchestra/pull/3901/ et https://github.com/georchestra/georchestra/pull/3902/), donc
des mises à jour pour georchestra incluant bien geoserver 2.18.7 / geotools 24.7 sont disponibles:

- pour ceux qui utilisent les paquets debian venant de la CI communautaire sur https://packages.georchestra.org/, ceux versionnés georchestra-geoserver_22.0.5.202302221125~ada3c73 ou georchestra-geoserver_20.1.7.202302221159~f55a3dd (et ultérieurs) sont à jour

- pour ceux qui utilisent les wars de la CI, https://packages.georchestra.org/bot/wars/22.0.x/geoserver-generic.war et https://packages.georchestra.org/bot/wars/20.1.x/geoserver-generic.war sont a jour

- pour ceux utilisant des geoserver 'vanilla' il est conseillé de mettre à jour vers la dernière version mineure de la branche utilisée

pour ceux sur des branches plus anciennes (<=2.17) il sera conseillé de switcher sur des versions plus nouvelles, les versions plus anciennes de geoserver ne recevant plus de mises à jour de sécurité.

enfin, pour ceux utilisant docker, je ne sais pas comment ça fonctionne mais a priori il y'a une image de la branche 22.0.x datant d'il y'a 3h sur https://hub.docker.com/r/georchestra/geoserver/ donc celle-ci doit être à jour. Pour la branche 20.1.x, aucune idée..

--

--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
 
Site web : http://www.georchestra.org

---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.

Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/1ecfc624-1083-4cd8-0267-e250e961249b%40pi-geosolutions.fr.

[Maël REBOUX]

Here is an announcement for the availability of these 2 new versions of geOrchestra

 

https://www.georchestra.org/blog/2023/02/24/georchestra-20.1.8-22.0.6-en/

 

+ https://twitter.com/georchestra/status/1629083986608750592

 

 

De : georc...@googlegroups.com <georc...@googlegroups.com> De la part de Martin Pukancik
Envoyé : jeudi 23 février 2023 14:14
À : georchestra <georc...@googlegroups.com>
Objet : [NEWSLETTER] Re: [georchestra] Mise à jour de sécurité geoserver / geoserver security upgrade

 

Jean Pommier -- pi-Geosolutions

Ingénieur, consultant indépendant

Tél. : (+33) 6 09 23 21 36
E-mail : j...@pi-geosolutions.fr
Web : www.pi-geosolutions.fr
linkedin : jean-pommier

Le 21/02/2023 à 11:23, geOrchestra PSC a écrit :

Bonjour,

On nous a annoncé une vulnérabilité sérieuse touchant GeoServer, un risque d'injection SQL dans les vues paramétriques.

Une correction devrait sortir très prochainement pour toutes les versions récentes de GeoServer. Plusieurs personnes de la communauté geOrchestra sont déjà sur le coup pour sortir dès que possible une version correspondante, pour geOrchestra.

En attendant, le plus prudent est de passer en mode read-only les utilisateur postgresql que vous utilisez dans les configs de vos entrepôts postgis.

 

---

Hello

We have been informed of a high vulnerability on GeoServer, a risk of SQL injection in the parametrized SQL views.

A fix should arrive very soon now for every recent GeoServer version. Several people of the geOrchestra community are already working on providing ASAP a matching version, for geOrchestra

In the mean-time, as a mitigation quick-fix, you should change to read-only mode every postgresql users that you are using in postgis datastores

 

Jean, pour le PSC

--

--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
 
Site web : http://www.georchestra.org

---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.

Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/CALUhiAm0vDY_-%2BjnD%3DTv0WZP0garkJxs_KSFXf2Ci-czmRH%2BYA%40mail.gmail.com.

--
--
Vous avez reçu ce message, car vous êtes abonné au groupe
Groupe "georchestra" georc...@googlegroups.com
voir http://groups.google.fr/group/georchestra
 
Site web : http://www.georchestra.org

---
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes "georchestra".
Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse georchestra...@googlegroups.com.

Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/georchestra/3c467db7-4cdb-4fa1-802f-e90b42d4fec6n%40googlegroups.com.