Allgemeine Empfehlungen für einen sicheren Betrieb
- Nutzung von offiziellen SSL-Zertifikaten auf allen Servern.
- Installation des aktuellsten Betriebssystem und der verfügbaren Sicherheitsupdates. (siehe Systemanforderungen)
- Installation der aktuellsten MapEdit Version.
- Firewall Freigaben nur für die auf dem Server notwendigen Ports (z.B. 443).
- Aktivierung des SecureMode in MapEdit Core 25.1.x oder höher, ab 26.1 wird dies per Default gesetzt sein
- Die Datenbank Berechtigungen (Lesen, Schreiben) bei jeder Benutzergruppe im AppBuilder einschränken.
- Die Funktionsberechtigungen bei jeder Benutzergruppe im AppBuilder einschränken (z.B. Datei hochladen).
- Strenge serverseitige MIME-Typ-Validierung durchsetzen, um das Hochladen nicht autorisierter Dateitypen zu verhindern und so sicherzustellen, dass keine ausführbaren Inhalte eingeführt werden können.
- Für den Zugriff von den MapEdit Clients in PostgresSQL oder Oracle jeweils einen DBMS User mit eingeschränkten Berechtigungen für die MapEdit Datenbank Verbindung verwenden.
- Schränken Sie den Zugriff auf den TileServer mit einem Passwort ein und deaktivieren Sie die URL Übergabe.
- Nutzen Sie die Authentifizierung mittels Microsoft EntraID, oder bei unserer MapEdit Benutzer-Authentifizierung die Verwendung sicherer Passwörter, sowie einer 2-Faktor Authentifizierung (MapEdit Mobile).
- MapEdit verwendet als Sicherheitsauthentifizierungskomponente einen 128bit-Token(32 Hexadezimalzeichen). Dieser bietet ein sehr gutes Sicherheitsniveau und ist für den vorgesehenen Zweck ausreichend.
Sicherheitswarnungen
CVE-2025-43949 MapEdit Mobile / Core
22.04.2025 Bei einem Sicherheitstest wurde festgestellt das eine SQL-Injection möglich ist. Dies betrifft die REST-API bzw. Anwendung MapEdit Core auf dem MapEdit Server der Version 24.2 oder älter.
The MapEdit REST endpoint data/<datasource>/query executes an SQL query based on user provided parameters. This allows arbitrary SQL queries to be executed on the underlying databases (PostgreSQL and Oracle).
Handlungsempfehlungen
Installation von MapEdit 25.1 oder höher und Aktivierung des sicheren MapEdit Modus MapEdit.SecureMode=true im WildFly.
CVE-2021-44228 Log4j
13.12.2021 Das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) hat am 11.12.2021 eine Warnung herausgegeben, dass die Java-Bibliothek Log4j durch eine Remote Execute Lücke bedroht ist.
Hinweise
Wir nutzen Log4j in Verbindung mit Apache Tomcat und unseren Produkten MuM MapEdit TileServer und MuM MapEdit Mobile (bis zur Version 20.x).
Laut den derzeit uns vorliegenden Informationen z.B. Infos von Cloudflare ist die dabei von uns genutzte Log4j Version 1.2.17 nicht betroffen, da es dort die angegriffene Funktionalität noch nicht gibt (sondern erst Versionen ab 2.0). Zudem sind wir nicht betroffen sind, weil wir nicht die Konfiguration mit dem JMSAppender (wie beim BSI verlinkt) nutzen.
siehe Seite 3 unten, Update 2 in dieser PDF:
In Verbindung mit Wildfly wird Log4j von MapEdit TileServer, MapEdit Mobile und MapEdit Portal gar nicht genutzt, sondern die interne Protokollierung verwendet. Damit tritt diese Sicherheitslücke bei unseren Produkten in Verbindung mit dem Applikationsserver Wildfly nicht auf.
Noch eine wichtige Ergänzung und Unterscheidung bei der Analyse dazu bei Wildfly Installationen:
- Der WildFly stellt die log4j-api-2.14.1.jar bereit, um Anwendungen die gegen log4j programmiert wurden, die Nutzung des integrierten Loggings über diese API zu erlauben.
- Problematisch in Zusammenhang mit diesem Sicherheitsproblem wäre die log4j-core-2.14.1.jar, welche die eigentliche Implementierung des Loggings zur Verfügung stellt und die ursächliche Klasse JndiLookup bereitstellt. Diese wird allerdings beim WildFly nicht mit ausgeliefert, da er ein eigenes Logging-Modul von IBM verwendet.
Hier geht es wirklich nur darum, die abstrakte API bereitzustellen und dann intern auf das eigene Logging umzuleiten. In der module.xml im selben Verzeichnis sieht man das auch, da dort auf das interne Modul org.jboss.logmanager.log4j2 verwiesen wird.
Bei Apache Tomcat verwenden wir in Verbindung mit unseren MapEdit Produkten die ältere, nicht betroffene Log4j Version 1.2.x. Werden demnächst im Rahmen der Softwarepflege trotzdem eine Aktualisierung auf eine Log4j2 durchführen.
Sollten Sie im Internet z.B. MuM MapEdit Mobile in einer älteren Version (Release 20.x oder älter) betreiben, empfehlen wir bei Sicherheitsfragen wie bisher auch, immer ein Update auf die aktuellsten Versionen des Betriebssystems, sowie aller dort installierten Komponenten. Bei z.B. MuM MapEdit Mobile eben ein Update auf das aktuellste MapEdit Release und damit die Umstellung von Tomcat auf Wildfly.
Oracle Datenbanken
Auch Oracle hat reagiert und entsprechende Warnung publiziert.
Bitte beachten Sie dass die Datenbank Server nur über die Applikationen erreicht werden können und somit die Kommunikation mit der Datenbank komplett selber steuern und auch nur für angemeldete Benutzer freigegeben haben. Dh. die Wahrscheinlichkeit einen Angriffspunkt hier zu bieten ist wesentlich geringer, als die in Verbindung mit einem Web/Applikationsserver.
Wichtig für uns ist hier, dass die Oracle Datenbank Produkte nicht betroffen sind.
Oracle products not requiring patches
The following products were previously listed as "Under Investigation". Oracle has completed its review and, at this point in time, believe that the following products are not affected by vulnerability CVE-2021-44228:
....
Oracle Database [Product ID 5]
....
Allerdings steht auch in der Liste:
Oracle products with patches pending
Oracle has determined that the following Oracle products are vulnerable and do not currently have patches available for CVE-2021-44228:
....
Oracle Spatial and Graph [Product ID 619]
....
Bedeutet, es gibt aktuell keinen Patch von Oracle für die Spatial and Graph Erweiterung. Wir vermuten dass diese Möglichkeit an dem dort mit im Produkt enthaltenen Kartenserver und weniger an den Spatial Erweiterungen der Datenbank liegen könnte.