<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:"Segoe UI";

        panose-1:2 11 5 2 4 2 4 2 2 3;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;

        mso-fareast-language:EN-US;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

span.E-MailFormatvorlage19

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;

        font-family:"Calibri",sans-serif;

        mso-fareast-language:EN-US;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:70.85pt 70.85pt 2.0cm 70.85pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="DE" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal">Liebe Kolleginnen und Kollegen,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">auch für Kitodo.Presentation 2.x steht nun eine fehlerbereinigte neue Version bereit: Sie finden Version 2.3.0 wie immer auf GitHub [1] und nun auch auf Packagist [2]. Im TYPO3 Extension Repository ist die neue Version leider noch nicht

 zu finden, da eine technische Störung derzeit den Upload verhindert. Sobald die Störung behoben ist, werde ich die Version auch dort nachreichen.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Bitte beachten Sie, dass Version 2.3.0 nicht nur die gestern beschriebene Sicherheitslücke schließt, sondern zudem noch eine ganze Reihe weiterer (unkritischer) Fehlerbereinigungen und einige aus Version 3.x zurückportierte Features enthält.

 Bei der Aktualisierung sind daher die veränderten Systemanforderungen (beispielsweise Solarium) zu beachten. Falls Sie die Installation nicht per Composer durchführen, müssen diese Abhängigkeiten manuell bereitgestellt werden. Das Changelog finden Sie auf

 GitHub [1].<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Viele Grüße<o:p></o:p></p>

<p class="MsoNormal">Sebastian Meyer<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">[1] <a href="https://github.com/kitodo/kitodo-presentation/releases/tag/v2.3.0">

https://github.com/kitodo/kitodo-presentation/releases/tag/v2.3.0</a><o:p></o:p></p>

<p class="MsoNormal">[2] <a href="https://packagist.org/packages/kitodo/presentation#v2.3.0">

https://packagist.org/packages/kitodo/presentation#v2.3.0</a><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal"><b><span style="mso-fareast-language:DE">Von:</span></b><span style="mso-fareast-language:DE"> Meyer, Sebastian

<br>

<b>Gesendet:</b> Mittwoch, 15. Juli 2020 17:46<br>

<b>An:</b> kitodo-community@kitodo.org; kitodo-verein@kitodo.org<br>

<b>Betreff:</b> Sicherheitslücke in Kitodo.Presentation<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif">Liebe Kolleginnen und Kollegen,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif">durch die Meldung auf der offenen Bug-Plattform „Open Bug Bounty“ [1] wurden wir auf eine Cross-Site Scripting (XSS)-Sicherheitslücke in Kitodo.Presentation aufmerksam gemacht.

 Die Sicherheitslücke besteht in allen Versionen bis einschließlich 3.1.0 auf allen Seiten, auf denen eines der Plugins „ListView“, „Navigation“ und/oder „PageView“ eingesetzt wird.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif">Durch die Sicherheitslücke können Angreifer fingierte Links auf diese Seiten verbreiten, deren URL-Parameter Schadcode enthalten. Klickt ein Nutzer auf einen dieser Links,

 so wird der Schadcode mit der Seite ausgeliefert und im Browser des Nutzers ausgeführt. Dadurch können etwa böswillige Inhalte innerhalb der Seite angezeigt oder auch Browser-Daten des Nutzers abgefragt werden. Der Schadcode agiert dabei mit den Rechten des

 Nutzers, kann also unter Umständen auch auf geschützte Bereiche Ihrer Webseite zugreifen, sofern sie eine Nutzeranmeldung ermöglichen und der Nutzer zum Zeitpunkt des Seitenbesuchs eingeloggt ist.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif">Soeben wurde Version 3.1.1 auf GitHub [2], im TYPO3 Extension Repository [3] und auf Packagist [4] veröffentlicht. Diese Version schließt den XSS-Angriffsvektor, ist ansonsten

 aber identisch zu Version 3.1.0. <b>Ein Update wird dringend empfohlen!</b><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif">Auch die Versionen 2.x sind von der Lücke betroffen. Für diese Version stellen wir in Kürze ebenfalls eine Fehlerbehebung bereit.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif">Viele Grüße<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif">Sebastian Meyer<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif">[1]

</span><a href="https://www.openbugbounty.org/reports/1219978/">https://www.openbugbounty.org/reports/1219978/</a><o:p></o:p></p>

<p class="MsoNormal">[2] <a href="https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.1">

https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.1</a><o:p></o:p></p>

<p class="MsoNormal">[3] <a href="https://extensions.typo3.org/extension/dlf/">https://extensions.typo3.org/extension/dlf/</a><o:p></o:p></p>

<p class="MsoNormal">[4] <a href="https://packagist.org/packages/kitodo/presentation">

https://packagist.org/packages/kitodo/presentation</a><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif"><o:p></o:p></span></p>

<p class="MsoNormal" style="margin-top:7.5pt;background:white"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif;color:black;mso-fareast-language:DE">--</span><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif;color:#172B4D;mso-fareast-language:DE"><br>

</span><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif;color:black;mso-fareast-language:DE">Sebastian Meyer<br>

Stabsstelle Digitale Bibliothek<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-top:7.5pt;background:white"><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif;color:black;mso-fareast-language:DE">Sächsische Landesbibliothek –<br>

Staats- und Universitätsbibliothek Dresden (SLUB)<br>

Abteilung IT</span><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif;color:#172B4D;mso-fareast-language:DE">,</span><span style="font-size:10.0pt;font-family:"Segoe UI",sans-serif;color:black;mso-fareast-language:DE"> Referat 2.1 Digitale Bibliothek<br>

01054 Dresden<br>

Besucheradresse: Zellescher Weg 18, 01069 Dresden<br>

Telefon: +49 351 4677-206<br>

Mobilfunk: +49 173 9615528<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</body>

</html>