Memtext Logo

KontaktMail für InfosSuchenLogin

SuperX. Hochschulprojekte & Freigaben 2022.06

150px Sicherheits-Patch 2022-06-21 schließt Sicherheitslücke in der Webapplikation

  • Über spezielle Manipulation von Eingabeparametern durch Zeilenumbrüche und Umwandlung von INPUT Feldern in TEXTAREA kann u.U. Schadcode eingespielt werden. Es ist keine Möglichkeit bekannt, wie die Schwachstelle ausgenutzt werden kann, sofern die Prüfung der Felder nicht durch die Hochschule deaktiviert wird. Die Code-Injection wurde aber vorsorglich behoben.
  • Außerdem erscheint nach längerer Inaktivität und Ablauf des Session Timeouts eine Fehlermeldung "Parameter unzulässig".

Der Patch behebt beide Probleme, bitte nach Einspielen den Tomcat neu starten. Ein KERN-Upgrade ist nicht nötig.

Achtung:

  • Dieser Patch ist für SuperX Kernmodul 4.9 geeignet, nicht für SuperX Kernmodul 4.8 oder HISinOne-BI. Für HISinOne-BI siehe HIS-Ticket.
  • Das Kernpaket im Downloadbereich wurde auch aktualisiert und enthält alle bisherigen Patches.
  • Die Pakete der Module FIN und IVS wurden für das Kernmodul 4.9 angepasst und sind nun kompatibel.

2022. JuniMemtext-Journal2022. Mai