Hoe voorkom ik gehackt te worden met een 'blind SQL injection'?
Onlangs is bij een gebruiker geconstateerd dat NedGeoservices vatbaar is voor 'Blind SQL injection'.
Met 'Blind SQL injection' kan een hacker informatie ophalen uit de PostgreSQL database. De volgende informatie kan door de hacker worden achterhaald via een 'Blind SQL injection':
- de structuur (namen van tabellen en kolommen) van de database en
- gebruikersaccounts.
Hierbij dient vermeld te worden dat het PostgreSQL database geen privacygevoelige data bevat, immers in deze database is alleen data die door de gemeente op het internet gepubliceerd wordt aanwezig. De gebruikersaccounts die achterhaald kunnen worden, worden alleen gebruikt om in te loggen in NedGeoservices (geen AD gebruikers). Wel kan de hacker nieuwe informatie aan de database toevoegen, bestaande informatie aanpassen en informatie verwijderen.
Dit probleem doet zich alleen voor wanneer u NedGeoservices in een DMZ omgeving hebt staan en kaartmateriaal op het internet publiceert. Mocht u NedGeoservices gebruiken om kaarten intern tussen verschillende applicaties uit te wisselen is er geen gevaar dat buitenstaanders de bovengenoemde informatie kunnen achterhalen.
Voor het geconstateerd probleem, zoals hierboven beschreven, heeft NedGraphics een oplossing bedacht en geïmplementeerd in de vorm van een hotfix. Deze kunt u eenvoudig toepassen op NedGeoservices 3.0.6 en NedGeoservices 3.1.0 Bèta. De hotfix en de nodige documentatie kunt u downloaden van de NedGraphics supportsite (/tas/public/knowledgebasebrowse?unid=afdaa27991e641d6b7e19189b65ee42b).
Mocht u niet zelf de hotfix willen/kunnen implementeren, neem contact op met de Helpdesk.