Patch

Achtung: Der Patch ist nur für aktuelle Modulversionen geeignet!

Erweiterung 283628:

Sicherheitspatch - http-Get

Wenn jmd. als Administrator_in in SuperX angemeldet ist hat die Person in der jew. Browser Session Rechte auf Masken, die operative Aufgaben erledigen können, z.B. Gast-Userkennungen einrichten oder Masken kopieren. Da diese Masken mit HTTP-get ausgeführt werden können, können Angreifer_innen, die dem User eine Website im lokalen Netz "unterschieben", die jew. Masken mit versteckten Parametern ausführen und so unberechtigen Zugriff auf Masken erlangen. Der vorliegende Patch sperrt solche Abfragen für HTTP-GET, so dass das Problem damit behoben ist.

Nach dem Einspielen des Patches muss kein Upgrade ausgeführt werden, es reicht ein Tomcat Neustart.

Wichtig: Dieser Patch ist nur für SuperX-Kern 4.9 geeignet, nicht für SuperX-Kern 4.8 oder älter, und nicht für HISinOne-BI.

Download

Patch SuperX klassisch in UTF8
Patch SuperX webapps in UTF8
Patch klassisch in ISO

In der klassischen SuperX-Variante liegt das db und webserver Verzeichnis auf einer Ebene meistens unterhalb von /home/superx. Bei der "webapps"-Variante liegt alles unterhalb von webapps/superx. Dies ist der Standard in HISinOne-BI.