Achtung: Der Patch ist nur für aktuelle Modulversionen geeignet!
Erweiterung 306617:
Sicherheitspatch August 2023 - HTTP-get/SQL-Injection/JSESSION
Wenn jmd. als Administrator_in in SuperX angemeldet ist hat die Person in der jew. Browser Session Rechte auf Masken, die operative Aufgaben erledigen können, z.B. Gast-Userkennungen einrichten oder Masken kopieren. Da diese Masken mit HTTP-get ausgeführt werden können, können Angreifer_innen, die dem User eine Website im lokalen Netz "unterschieben", die jew. Masken mit versteckten Parametern ausführen und so unberechtigen Zugriff auf Masken erlangen. Der vorliegende Patch sperrt solche Abfragen für HTTP-GET, so dass das Problem damit behoben ist.
Nach dem Einspielen des Patches muss kein Upgrade ausgeführt werden, es reicht ein Tomcat Neustart.
Wichtig: Dieser Patch ist nur für SuperX-Kern 4.9 geeignet, nicht für SuperX-Kern 4.8 oder älter, nicht für SuperX-Kern 5.0 und nicht für HISinOne-BI.
Dateien:
- Datei: WEB-INF/lib/superx4.9.jar
Erweiterung 305470: XML Export leakt JSESSIONID - Datei: WEB-INF/http_get_masken_blacklist.txt
Erweiterung 302967: HTTP CSRF Anfälligkeit - Datei: WEB-INF/http_get_masken_whitelist_vorlage.txt
Erweiterung 302967: HTTP CSRF Anfälligkeit - Datei: edit/check_authentication.inc
Erweiterung 305725: CSRF und SQL-Injection über JSP-Seiten - Datei: edit/kern/show_html_content.jsp
Erweiterung 305725: CSRF und SQL-Injection über JSP-Seiten - Datei: WEB-INF/conf/obsoletfiles.txt
Erweiterung 305703: Webapp liefert statische Dateien aus, die nicht ausgeliefert werden sollten