Headline
CVE-2022-30760: releasenotes:fn2web2.04.09 [FlexWiki]
An Insecure Direct Object Reference (IDOR) issue in fn2Web in ihb eG FlexNow before 2.04.09.016 allows remote authenticated attackers to obtain sensitive student information (final grades, study courses, degrees) by changing the student ID parameter in the HTTP POST request to the FrontControllerSS endpoint.
Inhaltsverzeichnis
Release- und Update-Notes für fn2Web Release 2.04.09****Update 2.04.09.020 vom 31.05.2022
#7064: Bei einem HIO-Improt werden nun Lehrveranstaltungen mit der gleichen Externen-ID zu einer Gruppe zusammengefasst.
#7323: Bei der Suche nach Personen in FN2RBACWEB2 werden bei den Ergebnissen die zugewiesenen Rollen in alphabetischer Reihenfolge angezeigt.
#7434: In FN2RBACWEB2 kann nun auch nach Personen, welche ein „ß“ im Namen haben gesucht werden.
#7435: Die Suchergebnisse für Personen in FN2RBACWEB2 werden nun immer in alphabetischer Reihenfolge angezeigt.
#7441: Beim HIO-Export wird ein definiertes Semester übernommen, falls das Semester nicht gefüllt ist,
#7444: Bei der Suche nach Personen in FN2RBACWEB2 wird nun auch die Person-ID angezeigt, um bei gleichen Namen die Person besser zu ermitteln.
#7450: Beim HIO-Export wird ein Link zum Download der Modulbeschreibung angegeben.
#7454: Beim HIO-Export wird bei einer leeren Modulbeschreibung durchnummeriert.
#7562: Beim semesterabhängigen Druck der Modulhandbücher wird für jedes Studienmodul im XML ausgegeben, in welchen Studiengängen es verwendet wird.
#7464: Beim HIO-Export wird die Modulhandbuchbezeichnung aus der zugehörigen Prüfungsordnung ausgelesen.
Update 2.04.09.019 vom 19.05.2022
#6847: Das Relevante Datum in Datenblatt.xml wird jetzt richtig aus den Einstellungen des Zeugnisdatums ermittelt.
#6849: Noteneingabe funktioniert nicht bei eingeschaltetem Logging dafür wurden auf die neue Programmierung von Flog umgestellt.
#7064: Beim Import von Prüfungsdaten aus HIO werden bei der Lvnr Dezimalstellen - sofern vorhanden - mit ausgegeben.
#7437: Beim MHB-Export nach HIO passt jetzt die Reihenfolge der Modulteile.
#7447: Fix vom verschwindenden Stift bei Änderung eines Studierenden in FN2LM dezentrale Prüfungen.
#7449: Ein weiterer Dependency-Fix für UnivIS.
Das Korrekturdatum wird im Datenblatt.xml mit ausgegeben.
Update 2.04.09.018 vom 16.05.2022
#7427: Weitere, nicht kritische, Prüfungen auf Validität von Übergabeparametern.
#7433: FN2PA - wwwMeldungen - Fehler mit nicht scrollen nach Anlegen / Bearbeiten behoben
#7440: Die Rolle PAVOR kann wieder ohne Studierendendaten einsehen ohne, dass Parameter zur Einschränkung notwendig sind.
Update 2.04.09.017 vom 10.05.2022
- #7427: Fix für lesenden Zugriff auf Studierendendaten und die An-/Abmeldung.
Update 2.04.09.016 vom 09.05.2022
#5792: FN2SSS - JavaScript-Error durch einfache Anführungszeichen in FachgruppeBez behoben
#7323: In RBACWEB2 lässt sich nun steuern, dass sich bestimmte Rollen nicht gleichzeitig einer Person zuweisen lassen. Die Einstellung erfolgt über die META-Tabelle „SOD“.
#7413: Das Feld ‘Parallelgruppentitel’ wurde beim Prüfungsimport aus HIO falsch abgespeichert.
#7421: FN2LM - css für Links in WWW-Meldungen angepasst
#7427: Quick-Fix für die Vulnerability.
Update 2.04.09.015 vom 02.05.2022
#6244: Die fehlenden Leistungen wurden um Spezialisierung erweitert.
#7391: Es wurden noch Bibliotheken für UnivIS nachgeliefert.
#7395: Es wird kein mysteriöses ‘true’ mehr vor die Kurzbezeichnung von neu angelegten Modulen in FN2MOD2 gesetzt.
#7406: Das XML für die Semesterübersicht wurde überarbeitet und gibt jetzt alle Felder vom Semestertyp aus.
Das FLog-Feld flog.fsemester wird nun von fn2Web befüllt. Damit wird das Sortierverhalten im PA-Modul (Reiter ‘Protokoll’) verbessert.
Update 2.04.09.014 vom 25.04.2022
#7327: Die LDAP-Verbindung wurde überarbeitet, so dass diese auch nach mehrmaligem Abruf der Daten aus LDAP keine Fehler mehr verursacht.
#7328: Nicht vorhandene Attribute in LDAP werden bei Umwandeln von LDAP-Daten in eine Zeichenkette nun ignoriert und verursachen keinen Fehler mehr wenn ein Pattern verwendet wird (z.B. ldapImportSearchListPattern).
#7340: FN2LM - PrfZentral - Farbkodierung der Teilprüfungsgruppen gefixt
#7345: FN2LM - PrfZentral - css-Error-Klasse entfernen bei neuem Laden von Parametern & implementieren von Fehlermeldung, wenn ein PDF oder CSV ohne Prüfungsangebot ausgerufen wird.
Hierfür bitte in …/webapps/FN2LM/WEB-INF/classes/de/ihb/flexnow/lm/properties/prfZentral_de.properties den folgenden Eintrag ergänzen:
#neues Property für #7345 - 20.04.2022 druckOhnePrfang = PDF- / CSV-Datei nicht generierbar, da ein Teilprüfungsgruppe ohne Prüfungsangebot ausgewählt wurde.
#7347: Die Ladezeiten für TPGs bei der Anzeige von Prüfungsteilnehmern in FN2LM wurden verbessert.
#7362: In FN2LM wurde ein Init-Parameter zum Ausblenden/Anzeigen des Hakens in Prf-Zentral Tabelle Teilnehmer für den Buchungsstatus in der web.xml von FN2LM eingeführt:
<!-- #7362 - Parameter zum Ausblenden / Anzeigen des Hakens in Prf-Zentral Tabelle Teilnehmer für Buchungsstatus --> <init-param> <description>Haken in Tabelle PrfZentral wird ausgeblendet, da Funktion nicht genutzt wird</description> <param-name>PRF_ZENTRAL_TABLE_SHOW_BUCHUNGSSTATUS</param-name> <param-value>true</param-value> </init-param>
Ist der Parameter nicht vorhanden wird der Haken angezeigt (Default ‘true’).
#7368: Encoding-Problem in FN2LM gelöst
#7391: Die Schnittstelle zu Univis sollte wieder funktionsfähig sein.
ACHTUNG:
Mit diesem Update wurden zahlreiche 3rd-Party Bibliotheken aktualisiert und damit viele potentielle und konkrete Sicherheitslücken geschlossen.
Im Zuge dessen hat sich jedoch ein Fehler in älteren tomcat Versionen bzgl. einer aktuellen JSP-Library bemerkbar gemacht. Daher muss, wenn fn2Web 2.04.09.014 oder neuer auf einem tomcat-Server eingesetzt wird, tomcat in Version 7.0.100, 8.5.51, 9.0.31, 10.0.0.0-M1 oder neuer betrieben werden. Wir empfehlen den neuesten tomcat 9.0 zu nutzen.
Update 2.04.09.013 vom 19.04.2022
#7131: Beim Export nach STUDIP werden Modulgruppen-Links nicht mehr als Untermodulgruppen übertragen.
#7356: Beim Speichern eines Studienmoduls in FN2Mod wurde die Fehlermeldung bei zu langen Texten konkretisiert.
#7361: FN2AUTH - Schmierzeichen in App-Auswahl-Text entfernt
#7364: Die Kodierung in der Auswahl-JSP in FN2AUTH wurde auf UTF-8 vereinheitlicht.
#7375, #7378, #7380, #7381, #7382 und #7383: Ursprung der Fehler war ein Fehler im Umbau bzgl. der Bezeichner, der sich nur bei größeren Datenmengen bemerkbar gemacht hatte und dadurch nicht in unseren Tests aufgefallen ist.
Update 2.04.09.012 vom 08.04.2022
- #7363: NullPointerException in FN2LM beim CSV Import behoben
Update 2.04.09.011db vom 07.04.2022
Debug-Ausgaben für Teilnehmerlisten Zentral
#2024: Prüfungsbemerkungen für zentrale und dezentrale Prüfungen können nun differenzierter verwaltet werden. Nähere Informationen sind im verlinktem Ticket zu finden. Eventuell muss für diese Erweiterung der Browser Cache (Strg + F5) geleert werden.
Die „FN2XML\WEB-INF\hibernate.cfg.xml“-Datei muss um folgende Einträge erweitert werden:
<mapping resource="de/ihb/flexnow/kogen/TeilprfPrfbem.hbm.xml" /> <mapping resource="de/ihb/flexnow/kogen/ModulPrfPrfbem.hbm.xml" /> <mapping resource="de/ihb/flexnow/kogen/ModulLvPrfbem.hbm.xml" /> <mapping resource="de/ihb/flexnow/kogen/KatverPrfbem.hbm.xml" />
Update 2.04.09.011 vom 05.04.2022
#7338: Fehler in der Anzeige des Navigationsmenüs wurde behoben
#7260: Eine neue LDAP-Authentifizierung wurde eingefügt. Diese lässt sich über spezielle Parameter aktivieren. Nähere Informationen können im Ticket eingesehen werden.
Update 2.04.09.010 vom 04.04.2022
#5257: Das Verhalten von FN2SSS bei Anmeldungen zu einer Vorauswahl wurde an das PA-Modul angepasst.
#7300: Das Setzen der Ausnahme von der Versionierung in FN2MOD2 gilt auch für alle älteren Versionen der Modulgruppe.
#7338: Fehler in der Anzeige des Navigationsmenüs für FN2PA wurde behoben
Update 2.04.09.009 vom 28.03.2022
#7289 und #7300: Das Setzen der Ausnahme von der Versionierung in FN2MOD2 gilt auch für alle älteren Versionen des Modulhandbuchs.
#7314: Im Quell-XML für das Diplomasupplement wurde ein Fehler in Abschnitt 2-5 behoben.
#7338: In FN2LM wurde ein Fehler im Navigationsmenü behoben.
Update 2.04.09.008 vom 24.03.2022
- #7329: FN2LM - PrfZentral - Mailversand: Weitere Sonderzeichen in Mailtext und auch MailSubject in Ctrl umgemapped
Update 2.04.09.007 vom 18.03.2022
#7257: Der Fehler, dass eine Fachgruppe überbuchbar war, wenn vorher „nicht teilgenommen“ (spezielle Prüfungsordnng in Augsburg) und Maximales Volumen beim Bestehen angegeben war wurde behoben.
#7316: Für den Sonderfall der Medizin in Augsburg, werden jetzt, wenn eine Prüfungsmerkung ohne Versuchszählung zugeordnet ist, der Teilprfteil nochmals angemeldet
#7320: Für die Ermittlung des erreichten Volumens mit Ausnahme aus der Zeugnisrechnung, wird jetzt das Gesamtvolumen verwendet
Update 2.04.09.006 vom 14.03.2022
- #6963: In FN2RBACWEB2 können nun Studentendaten von der FN2-DB nach FN2-META-DB importiert werden. Dabei werden die nötigen Einträge in die Tabellen Personstub, Auth, usw. vorgenommen. Manuell angelegte Datensätze werden dabei nicht überschrieben.
ACHTUNG:
Es müssen die neusten SQL-Skripte eingespielt werden.
#7079: Beim MHB-Export nach HIO werden jetzt mehrere, dem MHB zugeordnete Studiengänge berücksichtigt.
#7212: Spezielle Einstellung für den MHB-Export nach HIO für die Universität Göttingen.
#7305: Verbessertes Fehlerhandling beim Student-Import.
Betrifft zur Zeit nur Augsburg: FN2Stipendium wurde weiter entwickelt, bitte SQL-Skripte einspielen, Vorlagen für die web.xml und Properties befinden sich in den Konfigurationsdateien. Bei Fragenbitte an Frau Massny oder Herrn Dittrich wenden.
Update 2.04.09.005 vom 24.02.2022
#5522: In FN2MOD werden bei einer neuen Modulgruppen-Version höhere Versionen von verlinkten Modulgruppen zur Auswahl angeboten.
#7280: Beim Student-Import wird nun auch der Setup-Parameter „LAENGE_MATRIKELNUMMER“ berücksichtigt, um bereits vorhandene Personen mit Hilfe des zugewiesenen Keyattributs über die Matrikelnummer des Studenten zu ermitteln.
#7281: Beim Student-Import wird für lokal verwaltete Kennungen (Authtyp 1) nun die Default-Verschlüsselungs-Methode verwendet, die in der Tabelle Crypttyp hinterlegt ist.
Update 2.04.09.004 vom 18.02.2022
#6897: Die Reihenfolge der Modulgruppen beim Export nach HIO wurde angepasst.
#7042: Der Export von Modulprüfungen in Fremdsysteme wird verhindert, wenn kein_export=1 ist.
#7146: Abschlussarbeiten, denen kein studentfach_sem-Eintrag zugeordnet werden kann, können auch in nicht-PostgreSQL wieder abgemeldet werden.
#7254: FN2PA - Fix von css-Fehler in PA-WWWMeldungen Startseite
#7258: Beim MHB-Vergleich in FN2MOD werden HTML-Formatierungen komplett ignoriert und die Rohdaten des Vergleichs in eine Datei geschrieben.
#7264: Nach der Erstellung der Mails werden die Ressourcen (die XSL-Datei) nun explizit freigegeben.
Update 2.04.09.003 vom 11.02.2022
#6979: Die Anzeige und Bearbeitung von Punkten für zentrale Prüfungen können nun individuell pro Tpg freigegeben werden. Dies erfolgt über das neue Tabellen-Feld „punkte_sichtbar“ in der Tabelle „Tpg“.
#7147: Die Bemerkungen bzgl. Losverfahren bei der Prüfungsanmeldung in FN2SSS werden wieder korrekt ausgegeben (sowohl im Mail-XML, als auch in FN2SSS).
Update 2.04.09.002 vom 07.02.2022
#4603: Ein Fehler beim Laden von Teilnehmern ohne Note bei zentralen Prüfungen wurde behoben.
#7253: Das Hinzufügen von Teilnehmern zu dezentralen Lehrveranstaltungen in FN2LM funktioniert wieder.
Update 2.04.09.001 vom 04.02.2022
#7228: Die CSV-Datei für den Download der Studentendaten in CSV-Format in FN2PA wird nicht mehr auf dem Server „zwischengespeichert“.
#7240: In FN2RBACWEB2 werden bei der Personen-Suche zum Ändern von META-Daten auch Datensätze mit Umlauten im Namen korrekt ermittelt.
#7246: Im Datenblatt und bei der Teilnehmerliste wird jetzt der Median der Note mit ausgegeben.
Release 2.04.09.000 vom 31.01.2022
#2089: In FN2MOD kann ein Bericht für die Prüfungsmeldung erstellt werden (Augsburg).
#4603: Beim Laden der Teilnehmerliste für zentrale Prüfungen wird nun das Ranking anhand der Note und der hinterlegten Notentabelle berechnet. Diese Information wird im XML unter …Prfstdteil/Ranking für das entsprechende XSL zur PDF- und CSV-Erstellung bereitgestellt.
ACHTUNG: Das Property „Rang“ ist hiermit veraltet und sollte nicht mehr länger im XSL verwendet werden.
#4773: Neue Studentbemerkungen eingefügt.
#4969: In FN2MOD kann bei einer Modulprüfung die Häufigkeit angegeben werden.
#5158: In FN2RBACWEB2 lassen sich Personen-Daten aus LDAP importieren. Aktuell ist das auf die FN2META-Datenbank beschränkt.
Nur für Hochschulen, die eine Authentifizierung über LPAD nutzen relevant:
Die fn2Web-Konfiguration für LDAP muss ggf. erweitert werden. Eine ausführliche Dokumentation ist hier zu finden.
- #5522: Modulgruppen können ab jetzt untereinander verlinkt werden.
Eine ausführliche Dokumentation über die Konfiguration und das Verhalten von verlinkten Modulgruppen kann hier gefunden werden.
#6679: Beim Import von LVs wurden Anpassungen vorgenommen.
#6857: Verbesserung der Usability in FN2MOD beim Zuordnen von Modulgruppen zu Modulhandbücher.
#6957: studentfach_stg.hrst wird auch im Web für die Spezialisierungen beachtet.
#7104: Der Upload-Status von kopierten Prfstds wird in FN2LM mitberücksichtigt. Das sollte im Moment keine Auswirkungen haben und wurde nur der Vollständigkeit halber umgesetzt.
#7113: Bei der Versionierung von Modulgruppen in FN2MOD kann die erste Möglichkeit ausgeblendet werden.
#7122: Beim Modulhandbuch-Check in FN2MOD werden auch Studienmodule angezeigt, für die eine neue Version vorliegt.
#7128: Im XML für das Diploma Supplement werden ab jetzt in den Abschnitten 2-5 und 3-3 das Studienfach und der Magisterfachtyp mitgeliefert. Abschnitt 4-2 wird nun auch für Diploma Supplements aus komplexen Zeugnissen, die aus Abschnitten bestehen, für alle Studienfächer erstellt (nicht wie bisher nur für das „dominante“).
#7165: Beim Export von Modulhandbüchern in FN2MOD können einzelne Modulgruppen ausgenommen werden.
#7179: Der Setup-Schalter ‘FEIERTAGE_ALS_VERLAENGERUNG’ wird nun auch in fn2Web berücksichtigt.
#7196: Die Felder prfang_tpg.anmeldungen und prfang_tpg.unbewertet für die TPG-Statistik werden ab jetzt im XML für das Datenblatt (Studentendaten) ausgegeben.
#7208: Bei der Anmeldung von Teilnehmern zu dezentralen Prüfungen wurde die Fehlerquelle Teilnehmer unter Verwendung bestimmter Arbeitsschritte zu ungültigen Teilprüfungen anzumelden beseitigt.
In der Datei …/webapps/FN2XML/WEB-INF/hibernate.cfg.xml müssen folgende Einträge ergänzt werden:
<!-- 25.01.2022 --> <mapping resource="de/ihb/flexnow/kogen/BemerkungStd.hbm.xml"/> <mapping resource="de/ihb/flexnow/kogen/BemerkungTyp.hbm.xml"/> <mapping resource="de/ihb/flexnow/kogen/BemerkungPo.hbm.xml"/>
<!-- 07.12.2021 --> <mapping resource="de/ihb/flexnow/kogen/Prfhaeufigkeit.hbm.xml"/>
<!-- 09.12.2021 --> <mapping resource="de/ihb/flexnow/kogen/LdapSearch.hbm.xml"/>
Folgende Einträge in …/webapps/FN2XML/WEB-INF/hibernate.cfg.xml müssen entfernt werden:
<mapping resource="de/ihb/flexnow/kogen/Studentbem.hbm.xml"/> <mapping resource="de/ihb/flexnow/kogen/Studentbemzeugni.hbm.xml"/>
Wenn das von uns bereitgestellte Kopierskript zum kopieren der Web-Applikationen verwendet wird und FN2Stipendium nicht genutzt werden soll (das sollte zur Zeit auf alle Hochschulen außer Augsburg zutreffen), dann bitte die Zeile
- FN2Stipendium
in der zugehörigen fn2exclude.txt Datei einfügen, damit die Applikation nicht mit kopiert wird.
Bitte auch die veröffentlichten SQL-Skripte beachten!
Bei einem Update von einer älteren Version aus bitte auch die vorhergehenden Patchnotes bis Version 2.04.08.022 beachten. Die Patchnotes können entweder in der Datei „ReleaseUndPatchNotes2.04.08.md“ oder unter https://wiki.ihb-eg.de/doku.php/releasenotes/fn2web2.04.08 gefunden werden.