Re: [Kitodo] Sicherheitslücke in Kitodo.Presentation

Liebe Kolleginnen und Kollegen, auch für Kitodo.Presentation 2.x steht nun eine fehlerbereinigte neue Version bereit: Sie finden Version 2.3.0 wie immer auf GitHub [1] und nun auch auf Packagist [2]. Im TYPO3 Extension Repository ist die neue Version leider noch nicht zu finden, da eine technische Störung derzeit den Upload verhindert. Sobald die Störung behoben ist, werde ich die Version auch dort nachreichen. Bitte beachten Sie, dass Version 2.3.0 nicht nur die gestern beschriebene Sicherheitslücke schließt, sondern zudem noch eine ganze Reihe weiterer (unkritischer) Fehlerbereinigungen und einige aus Version 3.x zurückportierte Features enthält. Bei der Aktualisierung sind daher die veränderten Systemanforderungen (beispielsweise Solarium) zu beachten. Falls Sie die Installation nicht per Composer durchführen, müssen diese Abhängigkeiten manuell bereitgestellt werden. Das Changelog finden Sie auf GitHub [1]. Viele Grüße Sebastian Meyer [1] https://github.com/kitodo/kitodo-presentation/releases/tag/v2.3.0 [2] https://packagist.org/packages/kitodo/presentation#v2.3.0 Von: Meyer, Sebastian Gesendet: Mittwoch, 15. Juli 2020 17:46 An: kitodo-community(a)kitodo.org; kitodo-verein(a)kitodo.org Betreff: Sicherheitslücke in Kitodo.Presentation Liebe Kolleginnen und Kollegen, durch die Meldung auf der offenen Bug-Plattform „Open Bug Bounty“ [1] wurden wir auf eine Cross-Site Scripting (XSS)-Sicherheitslücke in Kitodo.Presentation aufmerksam gemacht. Die Sicherheitslücke besteht in allen Versionen bis einschließlich 3.1.0 auf allen Seiten, auf denen eines der Plugins „ListView“, „Navigation“ und/oder „PageView“ eingesetzt wird. Durch die Sicherheitslücke können Angreifer fingierte Links auf diese Seiten verbreiten, deren URL-Parameter Schadcode enthalten. Klickt ein Nutzer auf einen dieser Links, so wird der Schadcode mit der Seite ausgeliefert und im Browser des Nutzers ausgeführt. Dadurch können etwa böswillige Inhalte innerhalb der Seite angezeigt oder auch Browser-Daten des Nutzers abgefragt werden. Der Schadcode agiert dabei mit den Rechten des Nutzers, kann also unter Umständen auch auf geschützte Bereiche Ihrer Webseite zugreifen, sofern sie eine Nutzeranmeldung ermöglichen und der Nutzer zum Zeitpunkt des Seitenbesuchs eingeloggt ist. Soeben wurde Version 3.1.1 auf GitHub [2], im TYPO3 Extension Repository [3] und auf Packagist [4] veröffentlicht. Diese Version schließt den XSS-Angriffsvektor, ist ansonsten aber identisch zu Version 3.1.0. Ein Update wird dringend empfohlen! Auch die Versionen 2.x sind von der Lücke betroffen. Für diese Version stellen wir in Kürze ebenfalls eine Fehlerbehebung bereit. Viele Grüße Sebastian Meyer [1] https://www.openbugbounty.org/reports/1219978/ [2] https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.1 [3] https://extensions.typo3.org/extension/dlf/ [4] https://packagist.org/packages/kitodo/presentation -- Sebastian Meyer Stabsstelle Digitale Bibliothek Sächsische Landesbibliothek – Staats- und Universitätsbibliothek Dresden (SLUB) Abteilung IT, Referat 2.1 Digitale Bibliothek 01054 Dresden Besucheradresse: Zellescher Weg 18, 01069 Dresden Telefon: +49 351 4677-206 Mobilfunk: +49 173 9615528