Husk URI-encoding

Kortforsyningen strammer op på formateringen af forespørgsler for fortsat at kunne opretholde et højt sikkerhedsniveau på Kortforsyningens services. Derfor vil vi nu bede om, at alle forespørgsler bliver korrekt URI-encodede.

Dette er specielt vigtigt, hvis man benytter f.eks. filtre på WFS tjenester, og derfor benytter <, > eller ” i XML i URI på forespørgsler.

 

Tegn der som minimum skal URI encodes efter 15. december 2017:  "#<>\^`{|} (læg mærke til at listen starter med et mellemrum)

 

URI-encoding af forespørgsler er obligatorisk i nyere versioner af Apache Tomcat (RFC 7230, RFC 3986).

Forspørgsler der ikke er korrekt URI-encodede, vil derfor blive afvist af nyere vesrsioner af Apache Tomcat.

Opstramningen af kravene i forhold til URI-ecoding sker af sikkerhedsmæssige årsager.

 

December 2017 vil vi opgradere til nyeste version af Apache Tomcat.

Denne version understøtter udelukkende korrekt URI-encoded forspørgsler.

 

15. december 2017 lukker Kortforsyningen for forespørgsler der ikke er korrekt URI-encoded

 

Derfor bedes alle tage hensyn til dette i deployment-cyklus, så der til denne dato er udrullet løsninger, der sender forespørgsler med encoded URI. 

 

Links til videre information:

https://nvd.nist.gov/vuln/detail/CVE-2016-6816

https://bz.apache.org/bugzilla/show_bug.cgi?id=60594

 

Har du behov for yderligere informationer, kan du kontakte os på https://support.kortforsyningen.dk

________________

31 maj 2017