JAI-EXT

Die Schwachstelle steckt in JAI-EXT, einer quelloffenen Erweiterung der Java-Bildverarbeitungs-API JAI, und betrifft insbesondere das darauf aufbauende Kartenserver-Projekt GeoServer. Kern des Problems ist die Verarbeitung sogenannter Jiffle-Skripte: Diese werden intern in Java-Code übersetzt und ausgeführt. Lässt eine Anwendung zu, dass ein Jiffle-Skript über eine Netzwerkanfrage übergeben wird, kann ein Angreifer eigenen Schadcode in das erzeugte Skript einschleusen. Da dieser Code anschließend kompiliert und ausgeführt wird, ergibt sich daraus eine Möglichkeit zur Codeausführung aus der Ferne – der Angreifer kann also beliebige Befehle auf dem betroffenen System laufen lassen. Gefährdet sind alle Anwendungen, die Jiffle-Skripte aus dem Netz entgegennehmen und ausführen; durch die weite Verbreitung von GeoServer betrifft das zahlreiche Karten- und Geodatendienste, die JAI-EXT einsetzen.