CASO PM-68678-19-201876
En los archivos web.config de los sitios de Aranda PassRecovery, se han agregado las directivas script-src 'self' 'unsafe-inline' 'unsafe-eval' y object-src 'none' al Content-Security-Policy (CSP) como una medida de mejora de seguridad, garantizando una política de seguridad de contenido sólida. Las configuraciones quedan de la siguiente manera:
Se incluyen los valores script-src 'self' 'unsafe-inline' 'unsafe-eval'; base-uri 'self'; object-src 'none' ; dentro de la etiqueta Content-Security-Policy en los archivos web.config de las consolas web de Administración (APRADMIN) y Usuarios (APRUSERS) de Aranda PassRecovery.
Se incluye el valor default-src 'none' ; dentro de la etiqueta Content-Security-Policy en el archivo web.config de la API de Aranda PassRecovery (APRAPI).
⚐ Nota: Las configuraciones de la Política de Seguridad de Contenido (CSP) que incluyen las opciones ‘unsafe-inline’ y ‘unsafe-eval’ son esenciales para el correcto funcionamiento de la herramienta, ya que permiten la ejecución de scripts necesarios provenientes de una librería de terceros.
Actualización de versión de AngularJs
Se actualiza la versión de AngularJs a 1.8.8 en la consola de usuarios de Aranda PassRecovery (APRUsers) para solucionar vulnerabilidades presentadas en versiones anteriores de AngularJs.
Esta actualización requiere que se eliminen los datos de navegación (caché y cookies) almacenados para evitar conflictos de compatibilidad con la nueva versión al utilizar la consola.
⚐ Nota: Aranda Software ha adquirido un soporte extendido para esta biblioteca, lo que permite mitigar posibles vulnerabilidades de seguridad.
⚐ NOTAS O INSTRUCCIONES ADICIONALES
- Ejecute el archivo “Aranda.PassRecovery.Installer.exe” y siga las instrucciones del instalador.
- El archivo ejecutable funciona como instalador y como herramienta de actualización.
- Esta actualización aplica únicamente para bases de datos en versión 8.0.169.