Liebe Kolleginnen und Kollegen,
ein Review der Extension durch das TYPO3 Security Team hat ergeben, dass die beschriebene Schwachstelle an anderer Stelle ebenfalls ausgenutzt werden kann. Vielleicht haben Sie bereits den entsprechenden Security Advisory des TYPO3 Security
Teams [1] zur Kenntnis genommen.
Wie darin beschrieben wurde, steht eine fehlerbereinigte Version 3.1.2 von Kitodo.Presentation bereits zur Installation bereit. Sie können sie wie üblich über das TYPO3 Extension Repository [2], Packagist [3] und GitHub [4] beziehen und
auf dem üblichen Weg über den Extension Manager oder per Composer aktualisieren. Gegenüber der Vorversionen seit 3.1.0 ist lediglich der Bugfix sowie eine aktuellere Version von jQuery enthalten, so dass keine Anpassungen an Ihrer Konfiguration o. ä. notwendig
sind. Wir empfehlen das Update baldmöglichst durchzuführen!
Die Aktualisierung von jQuery ist notwendig geworden, da auch in dieser Komponente eines Drittanbieters eine Sicherheitslücke entdeckt wurde, die erst in neueren Versionen geschlossen wurde.
Zudem haben wir auf GitHub einen eigenen Security Advisory [5] veröffentlicht, der alle bisherigen Veröffentlichungen dazu zusammenführt. Bitte verweisen Sie betroffene Kolleginnen und Kollegen darauf, wenn Sie über die Sicherheitslücke
informieren möchten.
Bitte entschuldigen Sie die Unannehmlichkeiten, die sich aus zwei so rasch aufeinander folgenden Releases ggf. ergeben. Um Sicherheitslücken dieser Art künftig hoffentlich früher erkennen und noch vor einem Release bereinigen zu können,
haben wir uns im Rahmen des Release Managements dazu entschlossen, zusätzliche Static Code Analyzer (SonarCloud) und Security Scanner (Whitesource) in den Workflow der Software-Entwicklung auf GitHub zu integrieren. Für künftige Pull Requests ist ein positives
Ergebnis dieser Scanner nötig, bevor sie in den Hauptentwicklungszweig übernommen werden können.
Viele Grüße
Sebastian Meyer
[1]
https://typo3.org/security/advisory/typo3-ext-sa-2020-015
[2] https://extensions.typo3.org/extension/dlf/
[3]
https://packagist.org/packages/kitodo/presentation
[4]
https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.2
[5]
https://github.com/kitodo/kitodo-presentation/security/advisories/GHSA-fpqv-x9hm-35j9
Von: Meyer, Sebastian
Gesendet: Mittwoch, 15. Juli 2020 17:46
An: kitodo-community@kitodo.org; kitodo-verein@kitodo.org
Betreff: Sicherheitslücke in Kitodo.Presentation
Liebe Kolleginnen und Kollegen,
durch die Meldung auf der offenen Bug-Plattform „Open Bug Bounty“ [1] wurden wir auf eine Cross-Site Scripting (XSS)-Sicherheitslücke in Kitodo.Presentation aufmerksam gemacht.
Die Sicherheitslücke besteht in allen Versionen bis einschließlich 3.1.0 auf allen Seiten, auf denen eines der Plugins „ListView“, „Navigation“ und/oder „PageView“ eingesetzt wird.
Durch die Sicherheitslücke können Angreifer fingierte Links auf diese Seiten verbreiten, deren URL-Parameter Schadcode enthalten. Klickt ein Nutzer auf einen dieser Links,
so wird der Schadcode mit der Seite ausgeliefert und im Browser des Nutzers ausgeführt. Dadurch können etwa böswillige Inhalte innerhalb der Seite angezeigt oder auch Browser-Daten des Nutzers abgefragt werden. Der Schadcode agiert dabei mit den Rechten des
Nutzers, kann also unter Umständen auch auf geschützte Bereiche Ihrer Webseite zugreifen, sofern sie eine Nutzeranmeldung ermöglichen und der Nutzer zum Zeitpunkt des Seitenbesuchs eingeloggt ist.
Soeben wurde Version 3.1.1 auf GitHub [2], im TYPO3 Extension Repository [3] und auf Packagist [4] veröffentlicht. Diese Version schließt den XSS-Angriffsvektor, ist ansonsten
aber identisch zu Version 3.1.0. Ein Update wird dringend empfohlen!
Auch die Versionen 2.x sind von der Lücke betroffen. Für diese Version stellen wir in Kürze ebenfalls eine Fehlerbehebung bereit.
Viele Grüße
Sebastian Meyer
[1]
https://www.openbugbounty.org/reports/1219978/
[2]
https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.1
[3] https://extensions.typo3.org/extension/dlf/
[4]
https://packagist.org/packages/kitodo/presentation
--
Sebastian Meyer
Stabsstelle Digitale Bibliothek
Sächsische Landesbibliothek –
Staats- und Universitätsbibliothek Dresden (SLUB)
Abteilung IT, Referat 2.1 Digitale Bibliothek
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Telefon: +49 351 4677-206
Mobilfunk: +49 173 9615528