From: Jan Büren
Date: Sun, 19 Jul 2020 13:55:39 +0000 (+0200)
Subject: doc: Sicherheitshinweise in Bezug auf SQL-Injections und XSS
X-Git-Tag: release-3.5.6.1~124
X-Git-Url: http://wagnertech.de/git?a=commitdiff_plain;h=b949445c79f8c1bfd1f03afb809a9108cc7c7d13;p=kivitendo-erp.git
doc: Sicherheitshinweise in Bezug auf SQL-Injections und XSS
---
diff --git a/doc/.changelog.swp b/doc/.changelog.swp
new file mode 100644
index 000000000..f3637faa5
Binary files /dev/null and b/doc/.changelog.swp differ
diff --git a/doc/UPGRADE b/doc/UPGRADE
index a4a798a05..27207a933 100644
--- a/doc/UPGRADE
+++ b/doc/UPGRADE
@@ -47,7 +47,12 @@ Regeldetails:
RewriteRule .*(\.git|config).*$ - [F,NC]
-
+Ferner wurde ein Security-Audit der kivitendo Version 3.1 veröffentlicht.
+Hierfür empfehlen wir den Ausarbeitung eines Sicherheitskonzept mit einem kivitendo Partner Eurer Wahl.
+Falls dies nicht möglich sein sollte, weisen wir darauf hin, dass ein SQL-Backup tages- und wochenaktuell
+für einen etwaigen Restore zu Verfügung stehen sollte. Ferner besteht die Gefahr, dass angemeldete
+Benutzer Formfelder miÃbrauchen können, Abhilfe schafft hier zum Beispiel der Einsatz von modsecurity unter
+Apache2 (https://doxsec.wordpress.com/2017/06/11/using-modsecurity-web-application-firewall-to-prevent-sql-injection-and-xss-using-blocking-rules/)
Upgrade auf v3.5.4
diff --git a/doc/changelog b/doc/changelog
index b4d7ddb22..ad2178d08 100644
--- a/doc/changelog
+++ b/doc/changelog
@@ -2,7 +2,7 @@
# Veränderungen von kivitendo #
###############################
-2020-xx-xx - Release x.x.x
+2020-07-20 - Release 3.5.6
MittelgroÃe neue Features:
diff --git a/doc/dokumentation.xml b/doc/dokumentation.xml
index 5ce8beb57..f181711e7 100644
--- a/doc/dokumentation.xml
+++ b/doc/dokumentation.xml
@@ -1309,6 +1309,19 @@ Alias /url/for/kivitendo-erp-fcgid/ /path/to/kivitendo-erp/
SSL-Konfigurations-Generator.
+
+ Aktivierung von Apache2 modsecurity
+
+ Aufgrund des OpenSource Charakters ist kivitendo nicht "out of the box" sicher.
+ Organisatorisch empfehlen wir hier die enge Zusammenarbeit mit einem kivitendo Partner der auch in der
+Lage ist weiterführende Fragen in Bezug auf Datenschutz und Datensicherheit zu beantworten.
+Unabhängig davon empfehlen wir im Webserver Bereich die Aktivierung und Konfiguration des Moduls modsecurity für den Apache2, damit
+XSS und SQL-Injections verhindert werden.
+ Als Idee hierfür sei dieser Blog-Eintrag genannt:
+
+ Test Apache2 modsecurity for SQL Injection.
+
+
diff --git a/doc/html/ch02s06.html b/doc/html/ch02s06.html
index 06498fa0e..483f495a3 100644
--- a/doc/html/ch02s06.html
+++ b/doc/html/ch02s06.html
@@ -131,4 +131,10 @@ Alias /url/for/kivitendo-erp-fcgid/ /path/to/kivitendo-erp/
Konfigurationsmöglichkeiten sprengen allerdings den Rahmen dieser
Anleitung, hier ein Hinweis auf einen entsprechenden Foreneintrag
(Stand Sept. 2015) und einen aktuellen (Stand Mai 2017)
- SSL-Konfigurations-Generator.