Liebe Kolleginnen und Kollegen,
aus gegebenem Anlass möchte ich Sie auf ein potentielles Sicherheitsrisiko beim Betrieb
von Kitodo.Production 2.x hinweisen.
Bereits Ende 2015 wurde im Zusammenhang mit einer Sicherheitslücke in einer von Kitodo
verwendeten Java-Bibliothek eine Aktualisierung dieser Komponente vorgenommen (vgl.
https://github.com/kitodo/kitodo-production/issues/367). Die seither verwendete Version
der Bibliothek verwendet eine Verschlüsselung des sogenannten ViewState zur Absicherung
und schließt somit die Sicherheitslücke. Diese Verschlüsselung kann jedoch manuell in der
Tomcat-Konfiguration abgeschaltet werden, was Kitodo erneut angreifbar macht.
Bitte beachten Sie, dass die Verschlüsselung standardmäßig aktiviert ist. Es besteht für
aktuelle Installationen von Kitodo.Production also keine Gefahr, sofern Sie die
Standardeinstellung nicht geändert haben. Um Ihre Installation dennoch sicherheitshalber
zu überprüfen, finden Sie hier mehr Informationen:
https://www.alphabot.com/security/blog/2017/java/Misconfigured-JSF-ViewStat…
Herzlichen Dank an den anonymen Hinweisgeber!
Viele Grüße
Sebastian Meyer
im Namen des Release Management