Sehr geehrte Damen und Herren,

bitte leiten Sie diese Nachricht umgehend an die Stelle weiter, die die AdV-Testsuite technisch betreut!

Wir möchten Sie darüber informieren, dass die aktuelle Version der AdV-Testsuite [1] von einer Sicherheitslücke betroffen ist. 

Am 06.02.2025 wurde die Sicherheitslücke [2] GHSA-w3pj-wh35-fq8w / CVE-2024-36404 in der Software AdV-Testsuite identifiziert.

Die Schwachstelle ermöglicht Remote Code Execution (RCE), wenn eine Anwendung bestimmte Funktionen der Bibliothek GeoTools verwendet, um XPath-Ausdrücke zu evaluieren.

Dies stellt ein erhebliches Risiko dar, da Angreifer dadurch potenziell schädlichen Code auf den Instanzen der Testsuite ausführen können.

Die betroffene GeoTools-Bibliothek wird innerhalb einer dritten Bibliothek eingesetzt, die wiederum in der AdV-Testsuite zur Validierung von Testdaten verwendet wird.

Aufgrund des intensiven Einsatzes von Metaprogrammierung (Java Reflection) in der Bibliothek ist es derzeit nicht möglich, mit Sicherheit auszuschließen, dass die AdV-Testsuite von dieser Sicherheitslücke betroffen ist. Wir empfehlen dahingehend dringend, entsprechende Sicherheitsmaßnahmen zu ergreifen!

Bitte schalten Sie Ihre lokal betriebenen Instanzen vorübergehend ab!

Wir arbeiten unter Hochdruck an der Veröffentlichung einer neuen Version der AdV-Testsuite, die diese Sicherheitslücke schließt.

Der Schutz Ihrer Daten sowie die Stabilität und Verfügbarkeit unserer Dienstleistungen haben für uns oberste Priorität.

Daher haben wir die vom BKG betriebenen Instanzen der AdV-Testsuite ebenfalls vorrübergehend vom Netz genommen.

Diese sind somit aktuell nicht erreichbar.

Wir arbeiten mit Hochdruck daran, die Auswirkungen so gering wie möglich zu halten, um den regulären Betrieb schnellstmöglich wiederaufzunehmen.

Für Rückfragen stehen wir gern zur Verfügung.

Wir werden Sie erneut informieren, wenn eine neue Version der AdV-Testsuite bereitsteht.

Wir danken Ihnen für Ihr Verständnis!