Achtung: Der Patch ist nur für aktuelle Modulversionen geeignet!
Erweiterung 281874:
Über spezielle Manipulation von Eingabeparametern durch Zeilenumbrüche und Umwandlung von INPUT Feldern in TEXTAREA kann u.U. Schadcode eingespielt werden. Es ist keine Möglichkeit bekannt, wie die Schwachstelle ausgenutzt werden kann, sofern die Prüfung der Felder nicht durch die Hochschule deaktiviert wird. Die Code-Injection wurde daher vorsorglich behoben.
Außerdem erscheint nach längerer Inaktivität und Ablauf des Session Timeouts eine Fehlermeldung "Parameter unzulässig".
Der Patch behebt beide Probleme, bitte nach Einspielen den Tomcat neu starten. Ein KERN-Upgrade ist nicht nötig. Achtung: Dieser Patch ist für SuperX 4.9 geeignet, nicht für HISinOne-BI. Für HISinOne-BI siehe HIS-Ticket.
Dateien:
- Datei: WEB-INF/lib/superx4.9.jar
Erweiterung 278352: SuperX-Servlet
Download
- Patch SuperX klassisch in ISO
- Patch SuperX klassisch in UTF8
- Patch SuperX webapps in UTF8
In der klassischen SuperX-Variante liegt das db und webserver Verzeichnis auf einer Ebene meistens unterhalb von /home/superx. Bei der webapps-Variante liegt alles unterhalb von webapps/superx.