<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body>
<div dir="auto">Liebe Kolleginnen und Kollegen,<br>
<br>
</div>
<div dir="auto">aus gegebenem Anlass möchte ich Sie auf ein potentielles Sicherheitsrisiko beim Betrieb von Kitodo.Production 2.x hinweisen.<br>
<br>
</div>
<div dir="auto">Bereits Ende 2015 wurde im Zusammenhang mit einer Sicherheitslücke in einer von Kitodo verwendeten Java-Bibliothek eine Aktualisierung dieser Komponente vorgenommen (vgl. <a href="https://github.com/kitodo/kitodo-production/issues/367">https://github.com/kitodo/kitodo-production/issues/367</a>).
 Die seither verwendete Version der Bibliothek verwendet eine Verschlüsselung des sogenannten ViewState zur Absicherung und schließt somit die Sicherheitslücke. Diese Verschlüsselung kann jedoch manuell in der Tomcat-Konfiguration abgeschaltet werden, was Kitodo
 erneut angreifbar macht.<br>
<br>
</div>
<div dir="auto">Bitte beachten Sie, dass die Verschlüsselung standardmäßig aktiviert ist. Es besteht für aktuelle Installationen von Kitodo.Production also keine Gefahr, sofern Sie die Standardeinstellung nicht geändert haben. Um Ihre Installation dennoch sicherheitshalber
 zu überprüfen, finden Sie hier mehr Informationen: <a href="https://www.alphabot.com/security/blog/2017/java/Misconfigured-JSF-ViewStates-can-lead-to-severe-RCE-vulnerabilities.html">https://www.alphabot.com/security/blog/2017/java/Misconfigured-JSF-ViewStates-can-lead-to-severe-RCE-vulnerabilities.html</a><br>
<br>
</div>
<div dir="auto">Herzlichen Dank an den anonymen Hinweisgeber!<br>
<br>
</div>
<div dir="auto">Viele Grüße<br>
</div>
<div dir="auto">Sebastian Meyer<br>
</div>
<div dir="auto">im Namen des Release Management<br>
<br>
<br>
<br>
</div>
</body>
</html>