TriplEforms Build 5.0.11.0 (26-01-2024)

Om te kunnen update naar deze versie moet de website worden bijgewerkt.


Opgelost

  • Patch voor de CVE-2024-21319 vulnerability.
  • Fix doorgevoerd tegen Session Hijacking en ter preventie van Sessie Fixatie. De SessionIpAffinityCheck zorgt er nu voor dat een potentiële  aanvaller een nieuwe unieke sessie krijgt, indien er een wijziging in IP-Address of User Agent wordt gedetecteerd. Verder krijgt een gebruiker, indien hij/zij uitlogt een nieuwe ASP.NET_SessionId toegewezen.
    Let op:
    Er zijn enkele opties aan de Web.config toegevoegd die instelbaar zijn. Middels de forwardedHeaderName-optie is de naam van de Forwarded HTTP Header in te stellen. Dit kan per situatie/architecturele inrichting verschillen. Daarnaast is de optie includeUserAgentInAffinityCheck toegevoegd. Hiermee is in te stellen of de User Agent als fingerprint toegevoegd wordt om een unieke sessie te identificeren. Aangeraden wordt om deze optie in productie op true te zetten.
  • Phone-veld toegevoegd aan de CmPayments2-module. Dit veld is te vullen via de Parameters van de CmPayments2-module.
    Let op:
    Het Phone-veld moet toegevoegd worden in de .tfProject-file bij de CmPayments2-module. Raadpleeg de documentatie.


Gewijzigd

  • De __SecureMetaData__ namespace is toegevoegd aan de TFStorage namespaces, waardoor variabelen die binnen deze namespace geplaatst worden niet meer verwijderd worden. De namespace wordt nu hetzelfde behandeld als de #globals namespace.
  • Referenties naar Kodision.TriplEforms.Composer.Core en System.Windows.Forms verwijderd uit de MijnOmgeving en Template  project. Bijbehorende dll's kunnen verwijderd worden.