Liebe Kolleginnen und Kollegen,
ich darf ihnen einen weiteres Entwickler-Release verkünden. Sie finden es wie gewohnt auf GitHub:
https://github.com/kitodo/kitodo-production/releases/tag/kitodo-production-…
Wir konnten in den letzten Wochen einen großen Fortschritt in der Kitodo Weiterentwicklung vermerken und sind deswegen von der alpha zur beta Version gewechselt.
Bitte beachten Sie, dass es sich wieder um ein reines Entwickler-Release handelt, also nicht für den produktiven Einsatz geeignet ist.
Im letzten Release noch fehlend, gibt es mittlerweile eine LDAP Anbindung, sowie den neuen Meta- und Strukturdateneditor.
Weiterhin haben wir unser Konzept des Rechtemanagements umgesetzt. Es besteht nun die Möglichkeit spezifische Rechte in Rollen zu Bündeln und somit Personen detaillierten Zugriff auf das System zuzuweisen.
Kitodo verfügt nun außerdem über einen Workflow Editor. Hiermit können Workflows mittels eines grafisches Tools bearbeitet werden. An der Nutzung paralleler Aufgaben arbeiten wir aktuell für den nächsten Release.
Wir präsentieren auch eine Umstrukturierung der Projektverwaltung. Das Konzept der Produktionsvorlage wurde überarbeitet, so dass das Erstellen von Vorgängen nun deutlich flexibler ist und Produktionsvorlagen nun in mehreren Projekten verwendet werden können.
Selbstverständlich arbeiten wir immer daran den Code lesbarer und wartbarer zu machen. Durch weiteres Umsetzen der Module wurde auch unsere API ein wenig angepasst.
Wir haben große Fortschritte beim Internformat machen können. Dieses wird leider im aktuellen Release noch nicht genutzt, wir arbeiten jedoch aktuell an der Umstellung auf das neue Format.
Wir hoffen auf viele Neugierige, die den Release ausprobieren und uns Rückmeldungen dazu geben.
Liebe Grüße
Kathrin Huber
Kathrin Huber
Digitale Bibliothek
Sächsische Landesbibliothek -
Staats- und Universitätsbibliothek Dresden (SLUB)
Abteilung IT, Referat 2.1
01054 Dresden
Besucheradresse: Zellescher Weg 18, 01069 Dresden
Tel.: +49 351 4677 242 | Fax: +49 351 4677 711
E-Mail: kathrin.huber(a)slub-dresden.de
www.slub-dresden.de<http://www.slub-dresden.de/> <mailto:jens.bemme@slub-dresden.de> | www.kitodo.org/
Liebe Kolleginnen und Kollegen,
aus gegebenem Anlass möchte ich Sie auf ein potentielles Sicherheitsrisiko beim Betrieb von Kitodo.Production 2.x hinweisen.
Bereits Ende 2015 wurde im Zusammenhang mit einer Sicherheitslücke in einer von Kitodo verwendeten Java-Bibliothek eine Aktualisierung dieser Komponente vorgenommen (vgl. https://github.com/kitodo/kitodo-production/issues/367). Die seither verwendete Version der Bibliothek verwendet eine Verschlüsselung des sogenannten ViewState zur Absicherung und schließt somit die Sicherheitslücke. Diese Verschlüsselung kann jedoch manuell in der Tomcat-Konfiguration abgeschaltet werden, was Kitodo erneut angreifbar macht.
Bitte beachten Sie, dass die Verschlüsselung standardmäßig aktiviert ist. Es besteht für aktuelle Installationen von Kitodo.Production also keine Gefahr, sofern Sie die Standardeinstellung nicht geändert haben. Um Ihre Installation dennoch sicherheitshalber zu überprüfen, finden Sie hier mehr Informationen: https://www.alphabot.com/security/blog/2017/java/Misconfigured-JSF-ViewStat…
Herzlichen Dank an den anonymen Hinweisgeber!
Viele Grüße
Sebastian Meyer
im Namen des Release Management