Nyhed

Orientering om mulig sårbarhed på Nemhandel Referenceimplementering

Referenceimplementeringen v.1.1 benytter et 3.part softwareprogrammel, SnakeYaml, hvori der er konstateret sårbarheden (CVE-2022-1471), som under de rette forudsætninger, kan muliggøre ondsindet udnyttelse af referenceimplementeringen v.1.1. SnakeYaml er en transitiv afhængighed fra Swagger-komponent, til at udføre 'arbitrær kode eksekvering'. Dette vil have potentialet for at kompromittere ikke kun Nemhandel Referenceimplementering v.1.1, men også den platform, den kører på.

  • 8. januar 2024
  • Opdatering
  • Release

Fremtidige versioner af Nemhandel Referenceimplementering vil ikke indeholde denne sårbarhed. Nedenstående vejledning beskriver hvordan man som serviceleverandør kan mitigere sårbarheden ved at konfigurere og bygge en ny version til idriftssættelse. Erhvervsstyrelsen medtager derudover mitigeringen i den kommende version 1.1.1 til forventelig frigivelse den 22. januar 2024.

Aktører der udelukkende bruger Peppol-mode skal dog være opmærksomme på, at denne version ikke kan ibrugetages førend 26. februar 2024 da den indeholder opdatering og release af nyeste Peppol schematroner.   
Ydermere anbefaler Erhvervsstyrelsen, at serviceleverandører begrænser internet-vendte snitflader, jævnfør afsnit 'Mitigering af CVE-2022-1471'.

Mitigering af CVE-2022-1471
Driftsafsnittet i vejledningspakken, og specifikt afsnit "8.0 Netværks- og firewallopsætning" beskriver hvilke former for trafik til og fra referenceimplementeringen, man som serviceleverandør skal tillade.
Desuden anbefaler vi at man som serviceleverandør blokere for trafikken for swagger-ui delen af Referenceimplementering v.1.1. Dette gøres ved en total blokering for al' trafik fra eksterne kilder på følgende URL'er:

  • http(s)://{{intern_dns_navn_for_RI}}:{{PORT}}/oxalis/openapi.json
  • http(s)://{{intern_dns_navn_for_RI}}:{{PORT}}/oxalis/openapi-ui

Bemærk at det ikke er korrekt at blokere for al trafik i directory "oxalis" eftersom oxalis/as4 skal bruges til modtagelse af dokumenter.

Dernæst beder vi alle være opmærksomme på at det stadig er en den klare anbefaling at begrænse trafikken til interne snitfladerne /outbox, /inbox, /status, samt /as4/status jf. drifts vejledningen.
Opsætning af disse begrænsninger i serviceleverandørens firewall/netværksopsætning reducerer risikoen for at ondsindede aktører kan tiltvinge sig adgang til Nemhandel Referenceimplementering for derigennem at udnytte sårbarheden.

Bygge ny version af Nemhandel Referenceimplementering med nyere version af SnakeYaml
SnakeYaml anvendes af Swagger, som Ref. AP anvender til at udstille dokumentation af sine endepunkter. Vejen til at anvende en nyere Snakeyaml (2.1) i stedet for den eksisterende (1.3) går gennem at bygge Ref. AP med en nyere version af Swagger end den eksisterende 2.2.8.
For bygge med en nyere Swagger og dermed med en snakeyaml, som ikke indeholder denne sårbarhed, gøres følgende:
I Oxalis-AS4/pom.xml rettes fra:
      <!-- OpenAPI / Swagger -->
      <dependency>
          <groupId>io.swagger.core.v3</groupId>
          <artifactId>swagger-jaxrs2</artifactId>
                            <version>2.2.8</version>
      </dependency>
til:
      <!-- OpenAPI / Swagger -->
      <dependency>
          <groupId>io.swagger.core.v3</groupId>
          <artifactId>swagger-jaxrs2</artifactId>
                            <version>2.2.15</version>
      </dependency>

https://rep.erst.dk/git/openebusiness/nemhandeledelivery/oxalis-as4/-/blob/master/pom.xml?ref_type=heads#L479-483
Hvorefter referenceimplementeringen skal genbygges, og gendeployeres.
Via den nyere Swagger anvendes ikke længere SnakeYaml 1.3, men i stedet 2.1, som ikke er ramt af CVE-2022-1471