VertiGIS nutzt diese Seite, um zentrale Informationen über die Sicherheitslücke CVE-2023-24329, bekannt als "Python Blocklist Bypass" und ihre Auswirkungen auf VertiGIS-Produktfamilien sowie Partnerprodukte bereitzustellen.
Dieser Artikel wird aktualisiert, sobald neue Informationen verfügbar sind.
Partnerprodukte von Esri
Python ist Bestandteil der Auslieferungen von Esri Produkten wie ArcGIS Pro, ArcGIS Enterprise oder ArcGIS Desktop. Die verwendeten Versionen enthalten die beschriebene Schwachstelle. Seitens Esri gibt es diesbezüglich kein öffentliche Information. Auf Anfrage über das ArcGIS Trust Center haben wir folgende Informationen erhalten.
- In ArcGIS Pro 3.2 / ArcGIS Enterprise 11.2 we ship Python 3.9.17, where this issue is addressed.
-
ArcGIS applications like ArcGIS Pro,ArcGIS Enterprise or ArcGIS Desktop aren't python web servers and are not impacted by this issue out of the box.
-
Users can immediately mitigate by add a strip() function to their python scripts before processing the URL.
Python URL Parse Problem (CVE-2023-24329) - PointerNull -
If customers choose to build python web servers that implement python based URL blocklisting (which is a bad security practice - the preference is an allow-list) then they can use immediately mitigate this issue by add a strip() function to their python scripts before processing the URL on their python based server.
-
Customers can also use CONDA to clone their python environments and upgrade their libraries as they see fit. Customers can also choose to download and install a newer version of python to build and run their Python web servers.
-
The can and should also leverage a WAF for managing a blocklist. A WAF is a much better choice than a server based blocklist because a WAF is managed at the network ingress point, not on any specific server.
-
While the "severity" of CVE-2023-24329 is marked as "high", the "risk" is low. CVSS does not measure risk, it only measures severity.
-
CVE-2023-24329 is not known to have been exploited in the wild by US-CISA.
https://www.cisa.gov/known-exploited-vulnerabilities-catalog -
We plan to update our 3rd party CVE guidance document regarding this issue, but have no plans to release a blog for an issue like this which presents minimal risk.
Wenn Sie Beweise für eine Ausnutzung dieser Schwachstelle haben, stellen Sie Esri über Melden eines Sicherheits- oder Datenschutzproblems bitte einen "Proof of concept"zur Verfügung.
VertiGIS Produkte
Nicht betroffen
- VertiGIS FM:
Python nicht in Verwendung - VertiGIS Studio:
Python nicht in Verwendung - VertiGIS Networks
Python nicht in Verwendung - 3A / LM:
Python nicht in Verwendung - WebOffice:
Python nicht in Verwendung - UT for ArcGIS:
Python wird bei UT Bauauskunft und im UT Integrator teilweise eingesetzt. Die Bibliothek urllib wird nicht genutzt. - GeoOffice:
Python nicht in Verwendung - ConnectMaster:
Python nicht eingebunden - M4 Solutions:
Python nicht in Verwendung - PinPoint:
Python nicht in Verwendung - EDP products:
Python wird intern in EDP Besök verwendet. Die Bibliothek urllib wird nicht genutzt.
Untersuchung läuft
- Geonis
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.