TriplEforms Build 5.0.11.0 (26-01-2024)
Om te kunnen update naar deze versie moet de website worden bijgewerkt.
Opgelost
- Patch voor de CVE-2024-21319 vulnerability.
- Fix doorgevoerd tegen Session Hijacking en ter preventie van Sessie Fixatie. De SessionIpAffinityCheck zorgt er nu voor dat een potentiële aanvaller een nieuwe unieke sessie krijgt, indien er een wijziging in IP-Address of User Agent wordt gedetecteerd. Verder krijgt een gebruiker, indien hij/zij uitlogt een nieuwe ASP.NET_SessionId toegewezen.
Let op:
Er zijn enkele opties aan de Web.config toegevoegd die instelbaar zijn. Middels deforwardedHeaderName
-optie is de naam van de Forwarded HTTP Header in te stellen. Dit kan per situatie/architecturele inrichting verschillen. Daarnaast is de optieincludeUserAgentInAffinityCheck
toegevoegd. Hiermee is in te stellen of deUser Agent
als fingerprint toegevoegd wordt om een unieke sessie te identificeren. Aangeraden wordt om deze optie in productie optrue
te zetten. Phone
-veld toegevoegd aan de CmPayments2-module. Dit veld is te vullen via deParameters
van de CmPayments2-module.
Let op:
HetPhone
-veld moet toegevoegd worden in de .tfProject-file bij de CmPayments2-module. Raadpleeg de documentatie.
Gewijzigd
- De __SecureMetaData__ namespace is toegevoegd aan de TFStorage namespaces, waardoor variabelen die binnen deze namespace geplaatst worden niet meer verwijderd worden. De namespace wordt nu hetzelfde behandeld als de #globals namespace.
- Referenties naar Kodision.TriplEforms.Composer.Core en System.Windows.Forms verwijderd uit de MijnOmgeving en Template project. Bijbehorende dll's kunnen verwijderd worden.