...
Version 3.26.1 (08.02.2024)
Integrierter Texteditor: Wir haben eine Änderung an der Einbettung der Drittanbieter-Komponente vorgenommen, mit der in der Prozessplattform die Bearbeitungsmöglichkeit für formatierbare Freitext-Felder realisiert ist. Diese Komponente war so konfiguriert, dass die Ergebnisse eines Aktualitäts- und Sicherheits-Selbsttests der Komponente, die sich an uns als Hersteller richten, fälschlicherweise auch unmittelbar für die Endanwender der Prozessplattform eingeblendet wurden. Dies haben wir korrigiert.
Die Hinweise aus einer auf diesem Wege am 07.02.2024 nachmittags kurzzeitig bei einigen Anwendern eingeblendeten Meldung hat unser Sicherheits-Team eingehend geprüft. Unsere Analyse hat gezeigt, dass die betroffenen Module dieser Drittanbieterkomponente von der PICTURE-Prozessplattform nicht verwendet werden, weshalb ein Angriff über diese Lücke nach aktuellem Kenntnisstand nicht möglich ist. Gleichwohl führen wir fortlaufend weitere Untersuchungen durch und werden Sie bei Bedarf informieren.
Sicherheit: Wir setzen ab sofort eine u.a. vom BSI empfohlene “Good Practice” zur Verbesserung der Sicherheit der PICTURE-Prozessplattform um. Alle Seiten der Prozessplattform, welche nicht von Grund auf dafür vorgesehen sind, dass sie mittels sogenannter “IFrames” in andere Webseiten (z.B. das Intranet oder das Wiki Ihrer Organisation) integrierbar sind, können nun nicht mehr per IFrame eingebettet werden. Lediglich die verschiedenen Komponenten des Portal-Moduls (d.h. die Apps “Portal-Browser”, “Portal-Suche” und “Prozessliste”) können weiterhin per IFrame eingebunden werden.
Excel-Export/Import von Benutzerkonten: Wir haben den Umgang mit Trennzeichen in der Tabellenspalte “Gruppen” angepasst, sodass die Handhabung analog zur Vorgehensweise bei den Exporten/Importen für andere Informationsobjekte (z.B. Prozess-Steckbriefe, Prozesskontext-Kataloge) erfolgt: Wenn ein Benutzerkonto mehr als einer Gruppe zugeordnet ist, werden die Namen der Gruppen beim Export nun durch ein Semikolon separiert ausgegeben. Beim Import von Nutzerkonten ist als Trennzeichen nur noch das Semikolon zulässig. Somit funktioniert nun auch die automatische Zuordnung von Gruppenmitgliedschaften beim Import wenn der Name einer verwendeten Gruppe ein Komma enthält.
Nutzerverwaltung: Wir haben einen Fehler behoben, der dazu führte, dass einem/einer Nutzer/-in eine unschön formatierte bzw. schlecht lesbare Fehlermeldung angezeigt wurde, falls ihm/ihr während einer laufenden Sitzung durch ein/-e Fachadministrator/-in die zum Öffnen der aktuellen Seite nötigen Zugriffsrechte entzogen wurden. Diese Meldung wird nun ggf. in korrekter Formatierung angezeigt.
...