Liebe Kolleginnen und Kollegen,
ich wurde darauf aufmerksam gemacht, dass mir bei der Fehlerbeschreibung ein Fehler unterlaufen
ist: Die ViewState-Verschlüsselung und das mit deren Abschaltung einhergehende Sicherheitsrisiko ist unabhängig von der in Bug #367 beschriebenen Java-Bibliothek. Deren in 2015 behobene Schwachstelle war zwar auf denselben grundsätzlichen
Angriffsvektor zurückzuführen (Remote Code Execution durch Injektion eines
serialisierten Java-Objekts), das Problem besteht an sich aber auch unabhängig von der Apache
Commons Collections Bibliothek. Bitte entschuldigen Sie die Verwirrung!
Am grundsätzlichen Risiko ändert sich dadurch aber nichts. Achten Sie zur Sicherheit Ihrer Java-Webapplikationen
generell immer darauf, die ViewState-Verschlüsselung nicht zu deaktivieren – unabhängig von der Verwendung der Apache
Commons Collections.
Viele Grüße
Sebastian Meyer
Im Namen des Release Managements
Von: Meyer,
Sebastian
Gesendet: Donnerstag, 4. Oktober 2018 21:53
An: kitodo-community@kitodo.org; kitodo-developer@kitodo.org; kitodo-verein@kitodo.org
Betreff: Sicherheitshinweis zu Kitodo.Production
Liebe Kolleginnen und Kollegen,
aus gegebenem Anlass möchte ich Sie auf ein potentielles Sicherheitsrisiko beim Betrieb von Kitodo.Production 2.x hinweisen.
Bereits Ende 2015 wurde im Zusammenhang mit einer Sicherheitslücke in einer von Kitodo verwendeten Java-Bibliothek eine Aktualisierung dieser Komponente vorgenommen (vgl. https://github.com/kitodo/kitodo-production/issues/367).
Die seither verwendete Version der Bibliothek verwendet eine Verschlüsselung des sogenannten ViewState zur Absicherung und schließt somit die Sicherheitslücke. Diese Verschlüsselung kann jedoch manuell in der Tomcat-Konfiguration abgeschaltet werden, was Kitodo
erneut angreifbar macht.
Bitte beachten Sie, dass die Verschlüsselung standardmäßig aktiviert ist. Es besteht für aktuelle Installationen von Kitodo.Production also keine Gefahr, sofern Sie die Standardeinstellung nicht geändert haben.
Um Ihre Installation dennoch sicherheitshalber zu überprüfen, finden Sie hier mehr Informationen: https://www.alphabot.com/security/blog/2017/java/Misconfigured-JSF-ViewStates-can-lead-to-severe-RCE-vulnerabilities.html
Herzlichen Dank an den anonymen Hinweisgeber!
Viele Grüße
Sebastian Meyer
im Namen des Release Management