Liebe Kolleginnen und Kollegen,
ein Review der Extension durch das TYPO3 Security Team hat ergeben, dass die beschriebene
Schwachstelle an anderer Stelle ebenfalls ausgenutzt werden kann. Vielleicht haben Sie
bereits den entsprechenden Security Advisory des TYPO3 Security Teams [1] zur Kenntnis
genommen.
Wie darin beschrieben wurde, steht eine fehlerbereinigte Version 3.1.2 von
Kitodo.Presentation bereits zur Installation bereit. Sie können sie wie üblich über das
TYPO3 Extension Repository [2], Packagist [3] und GitHub [4] beziehen und auf dem üblichen
Weg über den Extension Manager oder per Composer aktualisieren. Gegenüber der Vorversionen
seit 3.1.0 ist lediglich der Bugfix sowie eine aktuellere Version von jQuery enthalten, so
dass keine Anpassungen an Ihrer Konfiguration o. ä. notwendig sind. Wir empfehlen das
Update baldmöglichst durchzuführen!
Die Aktualisierung von jQuery ist notwendig geworden, da auch in dieser Komponente eines
Drittanbieters eine Sicherheitslücke entdeckt wurde, die erst in neueren Versionen
geschlossen wurde.
Zudem haben wir auf GitHub einen eigenen Security Advisory [5] veröffentlicht, der alle
bisherigen Veröffentlichungen dazu zusammenführt. Bitte verweisen Sie betroffene
Kolleginnen und Kollegen darauf, wenn Sie über die Sicherheitslücke informieren möchten.
Bitte entschuldigen Sie die Unannehmlichkeiten, die sich aus zwei so rasch aufeinander
folgenden Releases ggf. ergeben. Um Sicherheitslücken dieser Art künftig hoffentlich
früher erkennen und noch vor einem Release bereinigen zu können, haben wir uns im Rahmen
des Release Managements dazu entschlossen, zusätzliche Static Code Analyzer (SonarCloud)
und Security Scanner (Whitesource) in den Workflow der Software-Entwicklung auf GitHub zu
integrieren. Für künftige Pull Requests ist ein positives Ergebnis dieser Scanner nötig,
bevor sie in den Hauptentwicklungszweig übernommen werden können.
Viele Grüße
Sebastian Meyer
[1]
https://typo3.org/security/advisory/typo3-ext-sa-2020-015
[2]
https://extensions.typo3.org/extension/dlf/
[3]
https://packagist.org/packages/kitodo/presentation
[4]
https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.2
[5]
https://github.com/kitodo/kitodo-presentation/security/advisories/GHSA-fpqv…
Von: Meyer, Sebastian
Gesendet: Mittwoch, 15. Juli 2020 17:46
An: kitodo-community(a)kitodo.org; kitodo-verein(a)kitodo.org
Betreff: Sicherheitslücke in Kitodo.Presentation
Liebe Kolleginnen und Kollegen,
durch die Meldung auf der offenen Bug-Plattform „Open Bug Bounty“ [1] wurden wir auf eine
Cross-Site Scripting (XSS)-Sicherheitslücke in Kitodo.Presentation aufmerksam gemacht. Die
Sicherheitslücke besteht in allen Versionen bis einschließlich 3.1.0 auf allen Seiten, auf
denen eines der Plugins „ListView“, „Navigation“ und/oder „PageView“ eingesetzt wird.
Durch die Sicherheitslücke können Angreifer fingierte Links auf diese Seiten verbreiten,
deren URL-Parameter Schadcode enthalten. Klickt ein Nutzer auf einen dieser Links, so wird
der Schadcode mit der Seite ausgeliefert und im Browser des Nutzers ausgeführt. Dadurch
können etwa böswillige Inhalte innerhalb der Seite angezeigt oder auch Browser-Daten des
Nutzers abgefragt werden. Der Schadcode agiert dabei mit den Rechten des Nutzers, kann
also unter Umständen auch auf geschützte Bereiche Ihrer Webseite zugreifen, sofern sie
eine Nutzeranmeldung ermöglichen und der Nutzer zum Zeitpunkt des Seitenbesuchs eingeloggt
ist.
Soeben wurde Version 3.1.1 auf GitHub [2], im TYPO3 Extension Repository [3] und auf
Packagist [4] veröffentlicht. Diese Version schließt den XSS-Angriffsvektor, ist ansonsten
aber identisch zu Version 3.1.0. Ein Update wird dringend empfohlen!
Auch die Versionen 2.x sind von der Lücke betroffen. Für diese Version stellen wir in
Kürze ebenfalls eine Fehlerbehebung bereit.
Viele Grüße
Sebastian Meyer
[1]
https://www.openbugbounty.org/reports/1219978/
[2]
https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.1
[3]
https://extensions.typo3.org/extension/dlf/
[4]
https://packagist.org/packages/kitodo/presentation
--
Sebastian Meyer
Stabsstelle Digitale Bibliothek
Sächsische Landesbibliothek –
Staats- und Universitätsbibliothek Dresden (SLUB)
Abteilung IT, Referat 2.1 Digitale Bibliothek
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Telefon: +49 351 4677-206
Mobilfunk: +49 173 9615528