GeoServer 2.25.0版本现已提供下载(bin、 war、 windows)以及 文档和 扩展。
这是推荐用于生产用途的 GeoServer 的稳定版本。GeoServer 2.25.0 是与 GeoTools 31.0 和 GeoWebCache 1.25.0 结合使用的。
安全升级
此版本解决了多个安全漏洞,所有这些漏洞都需要管理员访问权限。
漏洞:
-
CVE-2023-51444 REST Coverage Store API 中的任意文件上传漏洞(高)。
-
CVE-2023-41877 GeoServer 日志文件路径遍历漏洞(高)。
-
CVE-2024-23634 REST 覆盖范围/数据存储 API 中的任意文件重命名漏洞(中等)。
-
CVE-2024-23643 GWC 种子表单中的存储型跨站脚本 (XSS) 漏洞(中等)。
-
CVE-2024-23821 GWC 演示页面中的存储型跨站脚本 (XSS) 漏洞(中等)。
-
CVE-2024-23819 MapML HTML 页面中的存储型跨站脚本 (XSS) 漏洞(中等)。
-
CVE-2024-23818 WMS OpenLayers 格式中的存储型跨站脚本 (XSS) 漏洞(中等)。
-
CVE-2024-23642简单 SVG 渲染器中的存储型跨站脚本 (XSS) 漏洞(中等)。
-
CVE-2024-23640 Style Publisher 中的存储型跨站脚本 (XSS) 漏洞(中等)。
-
CVE-2023-51445 REST 资源 API 中的存储型跨站脚本 (XSS) 漏洞(中等)。
有关如何管理安全漏洞的更多信息,请参阅项目安全策略。
升级注意事项
更新现有系统时,我们进行了许多配置更改:
-
长期存在的
ENTITY_RESOLUTION_ALLOWLIST设置已被推荐作为一种在解析 XML 文档和请求时控制可用于外部实体解析的位置的方法。默认值已从
*(允许任何位置)更改为允许用于 OGC Web 服务的推荐www.w3.org、schemas.opengis.net、www.opengis.net位置,以及inspire.ec.europa.eu/schemas我们在欧洲的朋友使用的位置。 -
现在默认启用FreeMarker 模板 HTML 自动转义。
-
Spring Security 防火墙现在默认启用。
-
新的配置设置可用于限制从
geoserver/www文件夹提供的内容。www如果您在使用文件夹共享内容之前没有见过该文件夹,并且有一个提供静态文件的教程。 -
随着时间的推移,我们确实会添加对生产注意事项的建议,如果您有一段时间没有检查该页面,请查看。
默认启用 JTS 快速多边形相交
默认情况下启用JTS下一代多边形相交算法,这将提高许多操作的性能,包括 WPS 进程和矢量切片生成。我们认为该功能经过了充分的测试,应该向大多数用户开放,即使仍然可以通过添加-Djts.overlay=old.
MapML 扩展
MapML 扩展正在进行大量更新和改进,接下来的几个月还会有更多更新和改进。现在可以将"Tiled CRS"声明为图层的 CRS,这不仅意味着 CRS,还意味着 MapML 查看器将使用的网格集:
这部分建立在几个月前为支持天文 CRS 所做的工作之上,这使得 GeoServer 能够支持多个 CRS 范畴。
MapML 预览链接现在使用新的 MapML 输出格式,而旧的专用 REST 控制器已被删除。这使得 MapML 格式能够更好地集成到 GeoServer 生态系统中。MapML 查看器也已更新至最新版本:
感谢 Joseph Miller 和 Andrea Aime (GeoSolutions) 的这项工作,以及加拿大自然资源部的赞助。
社区模块更新
GeoServer 中的许多新活动都是作为社区模块开始的。我们想提醒您,这些模块尚不受支持,并邀请您通过参与它们的开发、测试它们并提供反馈来共同努力。
栅格属性表模块
作为GEOS-11175的一部分开发的栅格属性表社区模块使用 GDAL 栅格属性表 (RAT) 提供一种关联栅格内各个像素值的属性信息、创建样式并提供更丰富的 GetFeatureInfo 的方法输出。
WMS 地图的经纬网
经纬网社区模块作为GEOS-11216的一部分开发,提供了一个为 WMS 地图生成经纬网的数据存储,以及可用于标记它们的渲染转换。该模块可用于在 WMS 地图中绘制经纬网,也可将其作为 WFS 的一部分进行下载(或与 WPS 下载模块结合使用)。
