15 Jul
2020
15 Jul
'20
5:46 p.m.
Liebe Kolleginnen und Kollegen,
durch die Meldung auf der offenen Bug-Plattform „Open Bug Bounty“ [1] wurden wir auf eine
Cross-Site Scripting (XSS)-Sicherheitslücke in Kitodo.Presentation aufmerksam gemacht. Die
Sicherheitslücke besteht in allen Versionen bis einschließlich 3.1.0 auf allen Seiten, auf
denen eines der Plugins „ListView“, „Navigation“ und/oder „PageView“ eingesetzt wird.
Durch die Sicherheitslücke können Angreifer fingierte Links auf diese Seiten verbreiten,
deren URL-Parameter Schadcode enthalten. Klickt ein Nutzer auf einen dieser Links, so wird
der Schadcode mit der Seite ausgeliefert und im Browser des Nutzers ausgeführt. Dadurch
können etwa böswillige Inhalte innerhalb der Seite angezeigt oder auch Browser-Daten des
Nutzers abgefragt werden. Der Schadcode agiert dabei mit den Rechten des Nutzers, kann
also unter Umständen auch auf geschützte Bereiche Ihrer Webseite zugreifen, sofern sie
eine Nutzeranmeldung ermöglichen und der Nutzer zum Zeitpunkt des Seitenbesuchs eingeloggt
ist.
Soeben wurde Version 3.1.1 auf GitHub [2], im TYPO3 Extension Repository [3] und auf
Packagist [4] veröffentlicht. Diese Version schließt den XSS-Angriffsvektor, ist ansonsten
aber identisch zu Version 3.1.0. Ein Update wird dringend empfohlen!
Auch die Versionen 2.x sind von der Lücke betroffen. Für diese Version stellen wir in
Kürze ebenfalls eine Fehlerbehebung bereit.
Viele Grüße
Sebastian Meyer
[1] https://www.openbugbounty.org/reports/1219978/
[2] https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.1
[3] https://extensions.typo3.org/extension/dlf/
[4] https://packagist.org/packages/kitodo/presentation
--
Sebastian Meyer
Stabsstelle Digitale Bibliothek
Sächsische Landesbibliothek –
Staats- und Universitätsbibliothek Dresden (SLUB)
Abteilung IT, Referat 2.1 Digitale Bibliothek
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Telefon: +49 351 4677-206
Mobilfunk: +49 173 9615528
16 Jul
16 Jul
11:47 a.m.
New subject: [Kitodo] Sicherheitslücke in Kitodo.Presentation
Liebe Kolleginnen und Kollegen,
auch für Kitodo.Presentation 2.x steht nun eine fehlerbereinigte neue Version bereit: Sie
finden Version 2.3.0 wie immer auf GitHub [1] und nun auch auf Packagist [2]. Im TYPO3
Extension Repository ist die neue Version leider noch nicht zu finden, da eine technische
Störung derzeit den Upload verhindert. Sobald die Störung behoben ist, werde ich die
Version auch dort nachreichen.
Bitte beachten Sie, dass Version 2.3.0 nicht nur die gestern beschriebene Sicherheitslücke
schließt, sondern zudem noch eine ganze Reihe weiterer (unkritischer) Fehlerbereinigungen
und einige aus Version 3.x zurückportierte Features enthält. Bei der Aktualisierung sind
daher die veränderten Systemanforderungen (beispielsweise Solarium) zu beachten. Falls Sie
die Installation nicht per Composer durchführen, müssen diese Abhängigkeiten manuell
bereitgestellt werden. Das Changelog finden Sie auf GitHub [1].
Viele Grüße
Sebastian Meyer
[1] https://github.com/kitodo/kitodo-presentation/releases/tag/v2.3.0
[2] https://packagist.org/packages/kitodo/presentation#v2.3.0
Von: Meyer, Sebastian
Gesendet: Mittwoch, 15. Juli 2020 17:46
An: kitodo-community(a)kitodo.org; kitodo-verein(a)kitodo.org
Betreff: Sicherheitslücke in Kitodo.Presentation
Liebe Kolleginnen und Kollegen,
durch die Meldung auf der offenen Bug-Plattform „Open Bug Bounty“ [1] wurden wir auf eine
Cross-Site Scripting (XSS)-Sicherheitslücke in Kitodo.Presentation aufmerksam gemacht. Die
Sicherheitslücke besteht in allen Versionen bis einschließlich 3.1.0 auf allen Seiten, auf
denen eines der Plugins „ListView“, „Navigation“ und/oder „PageView“ eingesetzt wird.
Durch die Sicherheitslücke können Angreifer fingierte Links auf diese Seiten verbreiten,
deren URL-Parameter Schadcode enthalten. Klickt ein Nutzer auf einen dieser Links, so wird
der Schadcode mit der Seite ausgeliefert und im Browser des Nutzers ausgeführt. Dadurch
können etwa böswillige Inhalte innerhalb der Seite angezeigt oder auch Browser-Daten des
Nutzers abgefragt werden. Der Schadcode agiert dabei mit den Rechten des Nutzers, kann
also unter Umständen auch auf geschützte Bereiche Ihrer Webseite zugreifen, sofern sie
eine Nutzeranmeldung ermöglichen und der Nutzer zum Zeitpunkt des Seitenbesuchs eingeloggt
ist.
Soeben wurde Version 3.1.1 auf GitHub [2], im TYPO3 Extension Repository [3] und auf
Packagist [4] veröffentlicht. Diese Version schließt den XSS-Angriffsvektor, ist ansonsten
aber identisch zu Version 3.1.0. Ein Update wird dringend empfohlen!
Auch die Versionen 2.x sind von der Lücke betroffen. Für diese Version stellen wir in
Kürze ebenfalls eine Fehlerbehebung bereit.
Viele Grüße
Sebastian Meyer
[1] https://www.openbugbounty.org/reports/1219978/
[2] https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.1
[3] https://extensions.typo3.org/extension/dlf/
[4] https://packagist.org/packages/kitodo/presentation
--
Sebastian Meyer
Stabsstelle Digitale Bibliothek
Sächsische Landesbibliothek –
Staats- und Universitätsbibliothek Dresden (SLUB)
Abteilung IT, Referat 2.1 Digitale Bibliothek
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Telefon: +49 351 4677-206
Mobilfunk: +49 173 9615528
31 Jul
31 Jul
8:46 a.m.
New subject: [Kitodo] Sicherheitslücke in Kitodo.Presentation
Liebe Kolleginnen und Kollegen,
ein Review der Extension durch das TYPO3 Security Team hat ergeben, dass die beschriebene
Schwachstelle an anderer Stelle ebenfalls ausgenutzt werden kann. Vielleicht haben Sie
bereits den entsprechenden Security Advisory des TYPO3 Security Teams [1] zur Kenntnis
genommen.
Wie darin beschrieben wurde, steht eine fehlerbereinigte Version 3.1.2 von
Kitodo.Presentation bereits zur Installation bereit. Sie können sie wie üblich über das
TYPO3 Extension Repository [2], Packagist [3] und GitHub [4] beziehen und auf dem üblichen
Weg über den Extension Manager oder per Composer aktualisieren. Gegenüber der Vorversionen
seit 3.1.0 ist lediglich der Bugfix sowie eine aktuellere Version von jQuery enthalten, so
dass keine Anpassungen an Ihrer Konfiguration o. ä. notwendig sind. Wir empfehlen das
Update baldmöglichst durchzuführen!
Die Aktualisierung von jQuery ist notwendig geworden, da auch in dieser Komponente eines
Drittanbieters eine Sicherheitslücke entdeckt wurde, die erst in neueren Versionen
geschlossen wurde.
Zudem haben wir auf GitHub einen eigenen Security Advisory [5] veröffentlicht, der alle
bisherigen Veröffentlichungen dazu zusammenführt. Bitte verweisen Sie betroffene
Kolleginnen und Kollegen darauf, wenn Sie über die Sicherheitslücke informieren möchten.
Bitte entschuldigen Sie die Unannehmlichkeiten, die sich aus zwei so rasch aufeinander
folgenden Releases ggf. ergeben. Um Sicherheitslücken dieser Art künftig hoffentlich
früher erkennen und noch vor einem Release bereinigen zu können, haben wir uns im Rahmen
des Release Managements dazu entschlossen, zusätzliche Static Code Analyzer (SonarCloud)
und Security Scanner (Whitesource) in den Workflow der Software-Entwicklung auf GitHub zu
integrieren. Für künftige Pull Requests ist ein positives Ergebnis dieser Scanner nötig,
bevor sie in den Hauptentwicklungszweig übernommen werden können.
Viele Grüße
Sebastian Meyer
[1] https://typo3.org/security/advisory/typo3-ext-sa-2020-015
[2] https://extensions.typo3.org/extension/dlf/
[3] https://packagist.org/packages/kitodo/presentation
[4] https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.2
[5]
https://github.com/kitodo/kitodo-presentation/security/advisories/GHSA-fpqv…
Von: Meyer, Sebastian
Gesendet: Mittwoch, 15. Juli 2020 17:46
An: kitodo-community(a)kitodo.org; kitodo-verein(a)kitodo.org
Betreff: Sicherheitslücke in Kitodo.Presentation
Liebe Kolleginnen und Kollegen,
durch die Meldung auf der offenen Bug-Plattform „Open Bug Bounty“ [1] wurden wir auf eine
Cross-Site Scripting (XSS)-Sicherheitslücke in Kitodo.Presentation aufmerksam gemacht. Die
Sicherheitslücke besteht in allen Versionen bis einschließlich 3.1.0 auf allen Seiten, auf
denen eines der Plugins „ListView“, „Navigation“ und/oder „PageView“ eingesetzt wird.
Durch die Sicherheitslücke können Angreifer fingierte Links auf diese Seiten verbreiten,
deren URL-Parameter Schadcode enthalten. Klickt ein Nutzer auf einen dieser Links, so wird
der Schadcode mit der Seite ausgeliefert und im Browser des Nutzers ausgeführt. Dadurch
können etwa böswillige Inhalte innerhalb der Seite angezeigt oder auch Browser-Daten des
Nutzers abgefragt werden. Der Schadcode agiert dabei mit den Rechten des Nutzers, kann
also unter Umständen auch auf geschützte Bereiche Ihrer Webseite zugreifen, sofern sie
eine Nutzeranmeldung ermöglichen und der Nutzer zum Zeitpunkt des Seitenbesuchs eingeloggt
ist.
Soeben wurde Version 3.1.1 auf GitHub [2], im TYPO3 Extension Repository [3] und auf
Packagist [4] veröffentlicht. Diese Version schließt den XSS-Angriffsvektor, ist ansonsten
aber identisch zu Version 3.1.0. Ein Update wird dringend empfohlen!
Auch die Versionen 2.x sind von der Lücke betroffen. Für diese Version stellen wir in
Kürze ebenfalls eine Fehlerbehebung bereit.
Viele Grüße
Sebastian Meyer
[1] https://www.openbugbounty.org/reports/1219978/
[2] https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.1
[3] https://extensions.typo3.org/extension/dlf/
[4] https://packagist.org/packages/kitodo/presentation
--
Sebastian Meyer
Stabsstelle Digitale Bibliothek
Sächsische Landesbibliothek –
Staats- und Universitätsbibliothek Dresden (SLUB)
Abteilung IT, Referat 2.1 Digitale Bibliothek
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Telefon: +49 351 4677-206
Mobilfunk: +49 173 9615528
1368
days inactive
1384
days old
2 comments
1 participants
participants (1)
-
Meyer, Sebastian