Page Comparison

Upozornění

Při přechodu na novou verzi je třeba postupovat dle pokynů zde: Pokyny k přechodu na novou verzi (Upgrade notes)

Drobné změny:

• Přihlašovací formulář má nově zavedenu unikátní CSS třídu, aby bylo možné selektivně skrýt přihlášení jménem a heslem pomocí CSS.

Opravy:

• Drobná oprava související se zobrazením favicony.

Opravy:

• Opravena možná chyba (bílá stránka) při přístupu k zásilce způsobená interakcí s jinou opravou ve verzi 2.3.7.
• Upraveno zjištění verze v uvítací zprávě v příkazové řádce (aby se vyhnulo potencionálnímu řetězení volání).

Opravy:

• Oprava zobrazení nastavení pro povinné heslo zásilky. Po zapnutí a uložení se sice nastavení aplikovalo, ale zobrazovalo se stále jako vypnuté.
• Opraveno možné přeskočení vynuceného nastavení vícefaktorové autentizace pro uživatele.

Opravy:

• Opraveno zobrazení anglických Terms of Use v SK verzi a další drobné chyby v SK překladu.
• Oprava vzhledu úvodní stránky z mobilu (včetně přepínání jazyka).
• Vylepšena mini ikona aplikace (favicona) pro prohlížeče pro displeje s vyšším rozlišením.

Opravy:

• Opraveno možné chybné automatické odhlášení o minutu dříve, než bylo nastaveno a související chybová stránka.

Opravy:

• Slovenština automaticky povolena pro nové instalace (pro stávající nikoliv, musí aktivovat administrátor).
• Opraveno zobrazení stránky s chybou po automatickém odhlášení.
• Opravy překlepů.

Nové funkce:

• Přidána podpora slovenštiny pro uživatelskou část rozhraní (a rozesílané e-maily).

Drobné změny:

• Při přístupu na neexistující URL je zobrazena chybová hláška o neexistenci stránky (místo normální úvodní stránky aplikace).

Opravy:

• Opravena chyba rozhraní při použití překladače v prohlížeči (Chrome a Edge). Části, které překlad rozbil, se nyní nepřekládají.
• Oprava indikace a zjišťování stavu CDR nástroje.
• Oprava chování a nastavení CDR nástroje a filtru přípon.
• Opravy překlepů.

Opravy:

• Doplněn chybějící text k limitu v EN lokalizaci.
• Oprava v zobrazení hromadných akcí nad zásilkami.
• Aktualizace některých knihoven.

Opravy:

• Změněn výchozí typ šifrovacího klíče pro nové instalace na aktuálně doporučovaný algoritmus.

Nové funkce:

• Podpora OpenID Connect (OIDC) pro přihlašování uživatelů do aplikace. Kromě AD a ADFS je tak nyní možné aplikaci napojit i na Azure AD, Google nebo jiný OIDC kompatibilní zdroj pro přihlášení uživatelů.
• Implementace funkce CDR (Content Disarm and Reconstruction) - Podpora převodu kompatibilních dokumentů/souborů do bezpečné formy (čisté PDF bez aktivních prvků).
• Podpora nových anti-virových enginů: Avast a Trellix.
• Možnost blokace přístupu k aplikaci podle různých vlastností zdroje přístupu:
  • IP filtr - blokace klientů z vyjmenovaných IP rozsahů
  • Reverzní záznam - blokace klientů s reverzním záznamem obsahujícím vyjmenované řetězce
  • Země (GeoIP) - blokace přístupu z vyjmenovaných zemí, nebo povolení přístupu pouze z vyjmenovaných zemí
  • Hlavička User-Agent - blokace klientů, jejichž hlavička User-Agent obsahuje některý z vyjmenovaných řetězců
• Administrátor může nastavit trvalé uživatele, kteří nepodléhají automatickému zamykání nebo mazání účtů při neaktivitě (formou práva uživatele).
• Možnost omezení použití API pouze na vyjmenované adresní rozsahy (obdobně, jako u uživatelů a administrátorů).
• Přidáno nové právo uživatelům: označit zásilku jako trvalou, nepodléhající automatické expiraci. Dříve mohl toto provádět pouze administrátor.
• Nový filtr uživatelů:
  • dle jejich práv (možnost vyhledat uživatele s konkrétními právy)
  • dle toho, zda je lokální, nebo z externího zdroje (AD/ADFS/OIDC)
• Možnost vytvořit výzvu bez odeslání příslušného notifikačního e-mailu. Odkaz na výzvu pak uživatel předá jiným způsobem.
• Při přípravě nové zásilky k odeslání je nově možné vygenerovat náhodné heslo zásilky přímo ve formuláři do políčka s heslem.
• Podpora offline instalace. Do prostředí bez přístupu na Internet, ale s funkčním yum/dnf pro instalaci systémových balíčků, včetně epel nebo kompatibilního repozitáře. Pouze pro trvalé licence, nikoli předplatné.

Drobné změny:

• Aktualizace některých kryptografických algoritmů používaných v aplikaci, aby odpovídaly aktuálním doporučením, např. NÚKIB (Minimální požadavky na kryptografické algoritmy).
• Zda je přístup do aplikace z uzavřeného nebo otevřeného prostředí, je nyní jasně indikováno v horní liště aplikace (ikonou otevřeného nebo uzavřeného zámku).
• Vylepšení http security hlaviček (Permission-Policy a Content-Security-Policy).
• I nepřihlášení anonymní uživatelé vidí v horní liště ikonu s odkazem na dokumentaci.
• Zlepšen design obrazovky s detailem zásilky, pro přehlednost přidána odsazení aj. drobné úpravy.
• U administrátorů je nyní evidován čas vytvoření a posledního přihlášení, obdobně jako u uživatelů.
• Upraven upgrade proces:
  • sofie upgrade - nově aktualizuje jen o jeden krok na novější větev, tj. např. z 2.1.x na 2.2.x, nikoliv rovnou na 2.3.x.
  • Pokud je třeba aktualizovat o více hlavních verzí (větví), musí se upgrade spustit vícekrát a po každém kroku zkontrolovat a případně provést nutné kroky popsané v Pokyny k přechodu na novou verzi (Upgrade notes).
• Podpora čtení a logování nové hlavičky "Sec-Ch-Ua" (User agent client hint). Tu generuje napevno prohlížeč a nelze ji uživatelsky měnit.
• Drobné úpravy API (přidán atribut "fileId" do stavu zásilky).
• U přeposílání zásilky možnost označit/odznačit všechny soubory najednou.
• Administrátor vidí v seznamech zásilek celkový počet zásilek (vpravo dole u stránkování).
• Zlepšen filtr dle dalších příznaků v pohledu administrátora na všechny zásilky.
• Přidán nový limit omezující maximální počet vytvořených zásilek nebo výzev v nastaveném čase.
• Vylepšení v kooperativních zásilkách:
  • nyní každý spolupracovník (i autor) může kooperativní zásilku upravovat nezávisle na nastavení funkce povolující editaci existujících zásilek
  • přidáno nové tlačítko pro vkládání souborů do existující zásilky hned nad seznam se soubory

Opravy:

• Implementován automatický restart při pádu některého modulu aplikace, např. z důvodu vyčerpání paměti Javy. Nyní dojde v takovém případě k automatickému ukončení a novému spuštění, což minimalizuje nutnost ručních zásahů správce.
• Opraveny problémy objevené na základě provedeného podrobného pentestu aplikace.
• Přidána selinux pravidla pro Diagnostiku - Vzdálený přístup, aby byl tento funkční i při zapnutém selinuxu.
• Zlepšeno chování při chybě odeslání e-mailu. Již nedochází k dlouhodobému marnému opakování pokusů o odeslání, pokud SMTP server vrátí trvalou chybu (např. 550 invalid recipient).
• Opraveny možné výjimky a související chyby v překladech (projevující se zejména v maďarské lokalizaci).
• Opraveny chyby v některých hromadných akcích nad zásilkami, které se skenují, nebo jsou zašifrované.
• Opravena možná chyba při přihlášení uživatele a některých dalších akcích, která mohla nastat při speciální souhře okolností a aktivních limitech na akce.
• Administrátorovi se již nezobrazují akce pro (de)šifrování zásilek, pokud na ně nemá právo.
• Opraveno, že předmět testovacího e-mailu neobsahoval prefix nastavený v konfiguraci.
• Oprava skriptu pro změnu certifikátu v OS RHEL verze 9 a kompatibilních.
• Oprava možné výjimky při expiraci a mazání metadat skartovaných zásilek.
• Upraven skript pro BitDefender, aby nespouštěl více než jednu instanci skenu. Více instancí způsobuje chyby.
• Opravena možná chyba při příliš dlouhém názvu zásilky při přeposílání zásilky.
• Provedena aktualizace používaných knihoven.
• Opraveny různé překlepy, chybějící texty, či jiné drobné grafické nedostatky.

Opravy:

• Provedena aktualizace některých používaných knihoven.

Drobné změny:

• Doplnění ikony s otazníkem pro otevření nápovědy do horní lišty i pro anonymní uživatele (před přihlášením).

Opravy:

• Opravena neočekávaná chyba "500 Internal server error" místo korektního varování při zadání hesla zásilky nesplňujícího pravidla pro hesla, pokud bylo rozhraní přepnuto do maďarštiny.
• Opravena možná výjimka při finálním mazání metadat skartovaných zásilek.

Nové funkce:

• Podpora nových antivirů v detekčních nástrojích: Avast, Trellix.

Drobné změny:

• V nových instalacích má po prvním spuštění administrátor náhodné heslo. Heslo administrátora lze resetovat příkazem "sofie reset-admin-password".
• Úpravy dokumentace popisující způsob nasazení z AWS Marketplace a zařazení do AWS Marketplace: SOFiE.
• Úpravy pro snazší změny FQDN a https certifikátu. (příkazy "sofie set-fqdn" a "sofie recreate-cert"). Změna FQDN zneplatní licenci (je vázána na FQDN), a tak je nutné kontaktovat nás a dohodnout úpravu licence (ideálně předem).

Drobné změny:

• Úprava API (přidán atribut fileId k souborům v odpovědi se stavem zásilky).

Opravy:

• Oprava možné chyby při spuštění opakované kontroly souborů/zásilky detekčními nástroji. K chybě mohlo dojít při určité kombinaci nastavení a časování a důsledkem bylo předčasné ukončení kontroly s chybou.

Drobné změny:

• Úpravy a vylepšení "sofie" skriptu pro příkazovou řádku. Přípravy na snazší instalace, např. z AWS Marketplace.

Opravy:

• Opravena výjimka, která mohla občas nastat při komunikaci s FortiSandboxem. Způsobena byla neočekávanou hodnotou vracenou v API posledních verzí FortiSandboxu.

Drobné změny:

• Upraven upgrade skript a proces tak, aby "sofie upgrade" poskočil vždy jen o jednu verzi (2.1 → 2.2), nikoliv o více (2.0 → 2.2). Řeší do budoucna problém s upgrade z verze starší než nejbližší předchozí.

Drobné změny:

• Upraveny parametry zálohování (nižší komprese a vyšší paralelismus) pro urychlení. Ovlivňuje i updaty a upgrady, při nichž se záloha spouští.

Opravy:

• Opravena výjimka při zpracování příjemců zásilky, pokud jich bylo více, někteří byli z definované domény, ale ještě nikdy se nepřihlásili a tudíž neměli účet.
• Oprava zobrazení využitých uživatelů v licenci.

Opravy:

• Opraveno možné vyčerpání paměti procesu při přesunu sandbox reportů z databáze na disk (nastává po spuštění verze 2.2).

Opravy:

• Oprava blokovaného přístupu spolupracovníka k zásilce, pokud je zároveň schvalovatel a za určitého nastavení funkce schvalování zásilek.
• Oprava překlepu.

Nové funkce:

• Nová funkce "Aktovka", určená pro jednoduché posílání zásilek "sám sobě". V kombinaci s další novou funkcí pro "Uzavřené prostředí" usnadňuje také řízenou výměnu souborů mezi uzavřeným a otevřeným prostředím.
• Nová funkce "Uzavřené prostředí".
  • Vyjmenované IP adresy nebo IP rozsahy jsou považovány za uzavřené prostředí. (jinými slovy také "chráněné", "čisté", nebo "s omezeným přístupem", apod.)
  • Přenosy mezi tímto uzavřeným prostředím a ostatním (otevřeným) prostředím, lze zakázat. Konkrétně lze nastavit, zda je povoleno přenášet v jednotlivých kombinacích směrů přenosu (uzavřené → uzavřené, uzavřené → otevřené, otevřené → uzavřené, otevřené → otevřené).
  • Rovněž lze nastavit, zda je povoleno nahrávat zásilky z uzavřeného nebo z otevřeného prostředí.
  • Vhodné pro zabezpečení a řízení přenosů mezi oddělenou částí sítě a zbytkem světa, kdy je někdy třeba zakázat přenos ven (kvůli úniku citlivých dat), nebo přenos dovnitř (kvůli riziku nebezpečného obsahu).
  • V kombinaci s další novou funkcí "Aktovka", lze aplikaci velmi jednoduše používat pro bezpečný, řízený a auditovaný přenos souborů uživatelem mezi prostředími.
• Nová funkce "Kooperativní zásilky":
  • Administrátor může tuto funkci zakázat, povolit všem, nebo jen vybraným uživatelům.
  • Pokud má uživatel povoleno, může vytvořit kooperativní zásilku obdobně jako klasickou, ale navíc do ní přidá místo obyčejných příjemců tzv. "spolupracovníky".
  • Spolupracovníci mohou, stejně jako odesílatel (autor), zásilku následně editovat. Tj. přidávat, přejmenovat, nebo mazat její soubory.
  • Vhodné např. pro společnou práci více uživatelů na nějakém projektu, nebo pro lepší zastupitelnost.
• Podpora e-mail aliasů u uživatelů. Umožňuje mít u uživatele více e-mailů, např. po svatbě staré i nové jméno, atd.
• Vylepšení funkce schvalování odesílaných zásilek (také nazýváno režim 4 očí):
  • Lze zapnout podporu "preferovaných schvalovatelů". Pokud má uživatel nebo zásilka nastavené preferované schvalovatele (jednoho či více), měli by schvalovat odeslání tito schvalovatelé a jen jim je zaslána notifikace o čekající zásilce.
  • Lze nastavit, zda si preferovaného schvalovatele může nastavit sám uživatel, nebo mu ho musí nastavit administrátor.
  • Lze nastavit, zda uživatel s právem schvalovat zásilky (auditor), má právo vidět a schvalovat jakékoliv čekající zásilky, nebo pouze ty, u kterých je nastaven jako preferovaný schvalovatel.
• Označení zásilek uživatelem:
  • Uživatelé mohou označovat své zásilky hvězdičkou. Umožňuje jim to lépe se orientovat ve svých zásilkách, pokud jich je větší množství.
  • Nové příchozí zásilky uživatele jsou považovány za nepřečtené a označeny tučně. Po přečtení toto označení zmizí.
  • Podle hvězdičky i příznaku nepřečtené lze filtrovat.
• Odesílatel (autor) zásilky nebo Administrátor má možnost znovu odeslat notifikace o zásilce příjemcům.
• Zaveden nový administrátorský pohled "Všechny zásilky", který zobrazuje zásilky ve všech stavech (aktivní, karanténa, smazané, atd.). To například usnadňuje hledání zásilky, pokud nevím, v jakém je zásilka stavu.
• Administrátor může upravovat příjemce zásilky. To dosud mohl pouze odesílatel (autor).
• Zlepšena funkce automatického zamykání či mazání neaktivních uživatelů o náhled/simulaci, kterých uživatelů se to dotkne. Také přidána možnost okamžitého ručního spuštění této funkce.
• Uživatelům je možné zpřístupnit podrobné výsledky kontrol souborů, obdobně jako vidí administrátoři. Lze nastavit, kdo podrobné výsledky vidí (anonymové, přihlášení, jen vybraní, nikdo).
• Upravena výchozí konfigurace pro nové instalace, aby nové funkce byly implicitně aktivní (například šifrování, editace zásilek, aktovka, kooperativní zásilky, atd.). Stávajících instalací se nedotkne. Ve stávajících instalacích musí administrátor nové funkce vždy aktivovat sám, dle svého uvážení.
• Seznam uživatelů je možné exportovat/stáhnout ve formátu CSV.
• Zobrazené audit logy (dle aktuálního nastavení filtru) lze stáhnout ve formátu CSV.
• Možnost omezit dobu, po kterou jsou uloženy audit logy a metadata skartovaných zásilek. Doposud se ukládaly neomezeně a mohly nadměrně zaplňovat databázi. Rovněž doplněn automatický úklid dalších starých (uživateli ani administrátorovi neviditelných) záznamů v databázi.
• Export konfigurace. Administrátor může provést export aktuální konfigurace aplikace. Lze použít jako částečnou zálohu konfigurace. Export neobsahuje hesla a klíče. Import zpět zatím není podporován a tak případnou obnovu je třeba provést ručně.
• Sekce Nastavení → Konfigurace přepracována, pro větší přehlednost z důvodu přibývajících nových voleb.

Drobné změny:

• U přeposlaných zásilek je v detailu nově odkaz na původní zásilku, kterou tak lze snadno otevřít (jen pro odesílatele nebo administrátora).
• Z detailu audit logu souvisejícího se zásilkou se lze novým odkazem dostat na detail zásilky. Naopak z detailu zásilky se lze pomocí ikony u ID dostat na vyfiltrovaný seznam audit logů pro tuto zásilku.
• Plovoucí tlačítko Uložit v Nastavení → Konfigurace, aby bylo vždy vidět na obrazovce, i když je sekce nastavení delší, než se na obrazovku vejde.
• Zlepšeno hledání v seznamech zásilek:
  • je možné hledat podle názvu zásilky
  • je možné hledat podle názvu nebo SHA256 otisku souboru obsaženého v zásilce
• Zlepšeno hledání v audit logu:
  • Možnost hledat v audit logu podle textu v atributech (např. logy obsahující "ESET"). Neplatí pro text zprávy audit logu, jen pro atributy (protože text je generován dynamicky až při zobrazení, včetně překladu).
  • Možnost v audit logu zobrazit typ události. Usnadňuje hledání dle typu.
• Sjednoceno umístění Package ID ve filtrech pro hledání, aby bylo použití příjemnější.
• Doplněny hromadné akce o některé chybějící položky (retest, šifrování, kontrola integrity, aj.).
• Doplněny některé akce pro zásilku v seznamu zásilek a detailu zásilky, aby se dostupné akce v seznamu i detailu pokud možno shodovaly.
• Podrobné reporty ze sandbox kontrol přesunuty z databáze přímo na disk k souborům zásilky. Reporty nadměrně zvětšovaly velikost databáze a prodlužovaly její zálohování (a tím i upgrady a updaty aplikace).
• V úvodní obrazovce "Přehled" pro administrátory přidány odkazy na odpovídající části nastavení.
• MIME nálezy pro soubory či typy s dlouhými názvy se nevešly celé zobrazit a nebylo tak možné zjistit detail. Nyní lze celé zobrazit v tabulce v podrobnostech po klepnutí na lupu.
• Soubory v zásilce lze dodatečně přejmenovat. Dosud šlo jen smazat a nahrát znovu nový soubor.
• Seznam našeptávaných e-mailů a skupin z adresáře je nyní seřazen dle abecedy, dřív bylo pořadí náhodné.
• E-mail, na který je zaslána výzva, se také uloží do kontaktů v adresáři uživatele, pokud je zapnuta funkce sbírat kontakty.
• V seznamu administrátorů je zobrazen příznak (ikona) u administrátorů s nastavenou více-faktorovu autentizací.
• Funkce "Upozornit na umístění do karantény příjemce zásilky" upravena, aby platila pouze pro registrované uživatele (ne pro anonymy), tj. stejně jako u odesílatelů.
• Skrytí dalších citlivých údajů v audit log záznamech (klíče, salt, hesla).
• Zavedeny nové audit logy, viz: Seznam a popis jednotlivých typů Audit Log událostí

Opravy:

• Opravena chyba, kdy mohlo v některých situacích chybně dojít k ukončení kontroly sandbox nástrojem z důvodu vypršení časového limitu.
• Při prohlížení zásilky s omezeným počtem přístupů již nelze přepnout jazyk, neboť tím docházelo k vyčerpání dalšího přístupu.
• Opravena duplicita akce smazat u zásilek uživatele, kde je zároveň odesílatelem i příjemcem.
• Opraveno, že při využití odeslat další po odeslání zásilky nedocházelo ke korektnímu resetu formuláře nové zásilky.
• Opravena možnost přeposlání zásilky jako interní bez příjemce.
• Po přeposlání zásilky se korektně zobrazí odkaz na tuto novou zásilku.
• Oprava možné chyby při přeposlání zásilky s heslem.
• Opraven neočekávaný stav při opakovaném zadání chybného hesla k výzvě.
• Opravena možná výjimka při smazání souboru ze zásilky před dokončením jeho kontrol.
• I pro admina se nyní v nadpisu v detailu zásilky korektně zobrazuje název zásilky, pokud existuje, místo ID.
• Odstraněny chybné notifikace při vyjmutí neaktivní (smazané, v archivu) zásilky z karantény.
• Opraveny chyby při přístupu admina do některých částí nastavení s určitou kombinací práv admina.
• Opraveny možné chybné hodnoty v informačních čítačích ve statistikách šifrovaných zásilek.
• Opraveno, aby nebyla k dispozici akce odebrat poslední šifrovací klíč (KEK) od zašifrovaných zásilek.
• Opraven nefunkční limit na počet loginů za čas při specifické konfiguraci Active Directory.
• Různé opravy textů, formátování a vzhledu.
• Doplněn chybějící audit log (CONFIG_ADDED), který může výjimečně nastat.

Drobné změny:

• Upraven upgrade skript a proces tak, aby "sofie upgrade" poskočil vždy jen o jednu verzi (2.1 → 2.2), nikoliv o více (2.0 → 2.2). Řeší do budoucna problém s upgrade z verze starší než nejbližší předchozí.

Opravy:

• Oprava chyby znemožňující vypnout nebo zapnout v Nastavení → Nastavení detekce jednotlivé detekční nástroje či zda jsou povinné.

Opravy:

• Oprava chyby při přístupu k zásilce chráněné heslem obsahujícím diakritiku nebo jiné speciální znaky.
• Oprava možné výjimky při resetu hesla uživatele nebo administrátora neexistujícím nebo již neplatným odkazem.

Opravy:

• Drobná oprava skriptu "sofie" pro upgrade (na nové řady 2.0 → 2.1 apod.). V instalacích s ručně vytvořeným či upraveným yum repositářem sofie (neměl by být ručně upravován) mohlo dojít k chybě při upgrade.

Nové funkce:

• Možnost vytvářet zásilky s omezeným počtem přístupů. Pro veřejné zásilky může administrátor navíc omezení přístupů povinně vynutit.
• Administrátor může u uživatelů vynutit používání více-faktorové autentizace (v Nastavení - Konfigurace - Nastavení uživatelů - Vícefaktorová autentizace).
• Vylepšení funkce (e-mail) šablon:
  • V e-mail šablonách je možné vložit a použít oslovení příjemce (jménem, a pokud není známo, e-mailem) pro lepší individualizaci zpráv a zlepšenou ochranu proti phishingu.
  • V šablonách lze definovat společný prefix / suffix, který se vloží vždy před / za text e-mailové zprávy. Lze tak snadno do všech odesílaných e-mailů např. přidat firemní patičku, nebo na začátek přidat oslovení příjemce, apod.
  • Do notifikace o uložení zásilky do karantény lze vložit detail s výsledky kontrol problémových souborů. Výchozí šablona pro notifikace pro administrátory byla upravena, aby toto automaticky využívala a administrátor se tak v notifikaci rovnou dozvěděl důvody karantény, bez nutnosti otevírat detail zásilky v aplikaci.
• Podpora pro zobrazení podmínek užití na přihlašovací obrazovce. Dle nastavení administrátora buď dobrovolně, po klepnutí na odkaz, nebo povinně v modálním okně po vstupu na přihlašovací obrazovku.
• Nově lze uživatele omezit dle IP rozsahů:
  • Uživatelům lze omezit přihlášení a povolit ho pouze z povolených IP (rozsahů). Jak všem společně (firemní adresy), tak každému navíc individuálně (např. domácí veřejné).
  • Uživatelům lze zakázat anonymní zásilky (bez přihlášení) z rozsahů, z kterých mají povoleno přihlášení (viz výše). Pro odeslání z těchto IP se tak musí povinně přihlásit.
• Implementace nových bezpečnostních limitů (nová sekce Nastavení - Konfigurace - Bezpečnostní limity), včetně:
  • Zlepšena ochrana proti hádání hesel uživatelů. Zatím co neúspěšné pokusy jsou omezovány v čase a následně blokovány, tak legitimní přihlášení ze stejné IP může mezitím proběhnout bez vlivu na toto omezení.
  • Omezení počtu pokusů o obnovu hesla. Předchází možnosti DoS útoku nebo spamu.
  • Omezení počtu pokusů o hádání hesla zásilky či výzvy.
  • Omezení počtu pokusů o přístup k neexistující zásilce.
• Administrátor může nyní libovolně měnit typ (přístupnost) zásilky (mezi veřejná, interní a soukromá). Dříve bylo možné pouze zveřejnit soukromou zásilku.
• Administrátor může vynutit nastavení hesla pro nové zásilky (zvlášť pro anonymy a zvlášť pro přihlášené uživatele). Včetně požadovaných pravidel pro sílu hesla.
• Administrátor může nastavit, že auditor (uživatel schvalující čekající zásilky k odeslání) může přistupovat k zaheslované zásilce i bez znalosti hesla (podobně jako administrátor). Neplatí pro zásilky šifrované heslem, ty bez hesla nelze rozšifrovat.
• Administrátor může vypnout podporované jazyky pro uživatele i administrátory (kromě angličtiny, její podporu vypnout nelze). Vypnuté jazyky se pak nebudou nikde zobrazovat a nabízet k nastavení a použití.
• Podpora relací přihlášených uživatelů na straně serveru (navíc ke stávajícím jwt tokenům), což umožní uživatele odhlásit ze strany serveru a nebude stačit platný jwt token k obnovení přihlášení uživatele.
• Podpora kvóty na počet souborů ke kontrole odeslaných na FortiSandbox, pokud je provozovaný jako služba. Kvóta se stanovuje v rámci licence a po jejím překročení buď dojde pouze k upozornění, nebo se kontroly sandboxem přestanou provádět.
• Zavedeno administrátorem nastavitelné omezení na maximální počet zaznamenaných objektů v rámci MIME kontrol obsahu. Dříve bylo možné např. zipem s obrovským počtem souborů nadměrně zatížit aplikaci a prohlížeč při zobrazení tohoto obrovského počtu MIME výsledků.

Drobné změny:

• Změna v procesu aktualizace na nové verze (např. nyní 2.0 → 2.1), je nutné postupovat dle aktualizovaných instrukcí v Pokyny k přechodu na novou verzi (Upgrade notes).
• Zavedeny kroky pro lepší automatizaci procesu upgrade na budoucí verze (úprava nginx konfigurace, aby bylo možné ji lépe měnit automaticky).
• Při změně vlastního hesla nebo vlastních autentikátorů pro vícefaktorovou autentizaci je třeba nejprve zadat aktuální heslo. Platí pro uživatele i administrátory.
• Reset hesla pomocí odkazu v e-mailu vyvolaný administrátorem donutí ke skutečné změně hesla (nepůjde zadat znovu stejné heslo). Z bezpečnostních důvodů, např. po incidentu, kdy došlo k úniku hesla a administrátor vyžaduje jeho změnu.
• V pravidlech pro hesla byla minimální nastavitelná délka navýšena na 8 znaků. Navíc vždy doporučujeme zapnout vyžadování různých typů znaků a využití databáze uniklých hesel.
• Upraveno zobrazení práv uživatelů v seznamu uživatelů. Najetím myši nad novou ikonou pod jménem uživatele v seznamu lze zobrazit jeho aktuální nastavení práv.
• Administrátor s oprávněním "správa administrátorů" má automaticky napevno přidělena všechna ostatní práva. To reflektuje skutečný stav, kdy oprávnění pro správu administrátorů mu dovoluje si je stejně kdykoli přidat a nevytváří se tak iluze, že je nějak omezen.
• Při nahrání vlastního loga administrátorem ve formátu SVG dojde k lepší kontrole souboru, aby nemohl obsahovat spustitelný kód.
• API rozšířeno o podporu nových funkcí (nastavení zásilky) z verzí 2.0 a 2.1 (např. šifrování heslem, omezení počtu přístupů, atd.).
• Audit log pro neoprávněný přístup k zásilce rozdělen na dva různé audit logy (zvlášť pro anonymy: PACKAGE_DOWNLOAD_UNAUTHORIZED_ACCESS, a zvlášť pro přihlášené uživatele: PACKAGE_DOWNLOAD_USER_UNAUTHORIZED_ACCESS).
• Unikátní token pro reset hesla se již neloguje do audit logu, tj. administrátor ho nevidí.
• Zlepšení http hlaviček, včetně přidání CSP (Content-Security-Policy) hlavičky a hlaviček pro zamezení nežádoucí indexace a načítání vyhledávači a podobnými roboty.
• Úprava chybové stránky při nevalidním http požadavku.
• Vylepšení výstupu příkazu sofie status a rozšíření odesílaných diagnostických logů.
• Různé další úpravy dle méně závažných nálezů z pentestu.
• Různé menší úpravy a optimalizace vzhledu rozhraní aplikace.

Opravy:

• Uživatel se zakázaným přihlášením nemůže žádat o obnovu hesla (tato stejně nefungovala a zasekla se).
• Nelze odkazem nastavovat nové nebo obnovovat heslo z IP rozsahů, které nejsou povolené k přihlášení (pokud je nastaveno omezení příhlášení dle IP).
• Po uživateli z ADFS již není při přidávání vice-faktorového autentikátoru požadováno v aplikaci jeho aktuální heslo (které v aplikaci ani nemá).
• Opraveno nevyžadování hesla při nahrávání souborů do zaheslované výzvy (pokud nahrávající zná URL a obejde standardní postup ručně).
• Opravena nefunkční kombinace některých příznaků ve filtru nad seznamem zásilek.
• Opraveno opakované spouštění kontroly nad starými zásilkami.
• Opraveno chybné odesílání notifikace o chybě kontroly při skartování souborů ze zásilky obsahující soubory s chybou kontroly.
• Opravy DLP notifikací (zásílání prázné, nebo 2x).
• Opraveno, že přihlášený uživatel nemohl otevřít interní zásilku, pokud tato neměla žádného příjemce.
• Opravena chybná indikace řazení dle sloupce v seznamech při přechodu mezi různými obrazovkami.
• Opraven chybný výsledný stav při vyvolání ukončení kontrol zásilky, pokud mezitím stihly některé kontroly doběhnout do konce (mohlo nastat při velmi nepravděpodobném souběhu událostí).
• Opraveny aktualizace/notifikace v rozhraní pro dlouho běžící úlohy na pozadí (např. šifrování souborů nebo kontrola integrity).
• Opravena výjimka při pokusu o stažení neexistujícího souboru.
• Opravena výjimka, ke které mohlo dojít za speciálních okolností při MIME kontrole.
• Opravena výjimka, která mohla nastat při některých specifických požadavcích.
• Opraveno logování např. při chybách ADFS nebo pro externí API.
• Opraven zásek webového rozhraní při nestandardním stavu localStorage.
• Další drobné opravy textů či vzhledu.

Opravy:

• Drobná oprava skriptu "sofie" pro upgrade (na nové řady 2.0 → 2.1 apod.). V instalacích s ručně vytvořeným či upraveným yum repositářem sofie (neměl by být ručně upravován) mohlo dojít k chybě při upgrade.

Opravy:

• Opravena rozbitá integrace na Check Point SandBlast Cloud (drobná změna v API).
• Oprava v integraci na FortiNet FortiSandbox, kde mohlo v některých specifických případech dojít k chybě.
• V produkčním režimu skryt výpis konfiguračních parametrů a jejich hodnot při startu aplikace. V debug režimu skryt výpis hodnot citlivých hesel/klíčů.
• Doplnění několika chybějících textů v popisu šablon a oprava překlepu.

Nové funkce:

• Podpora pro schvalování odesílaných zásilek vybranými uživateli před jejich skutečným odesláním. Funkcionalitu lze zapnout v "Nastavení - Konfigurace - Základní nastavení - Uživatelé mohou odesílat zásilky bez schválení", plus vybrat případné uživatele odebráním jejich práva "Odesílat zásilky bez dodatečného schválení". Schvalování mohou provádět vybraní uživatelé (s právem "Schvalovat odeslání zásilek") nebo administrátoři (s právem "správa zásilek"). Funkce má pomoci zamezit, aby uživatelé odeslali ven z organizace data, která by odeslat neměli. Jedná se o první základní verzi funcionality, která bude v budoucnu zdokonalena a rozšířena.
• Možnost zakázat uživatelům odesílat zásilky sami sobě a rovněž možnost zakázat stahovat soubory ze svých odeslaných zásilek. (V "Nastavení - Konfigurace - Základní nastavení - Uživatelé mohou odesílat zásilky sami sobě / Uživatelé mohou stahovat soubory ze svých odeslaných zásilek", plus případné odebrání odpovídajících práv jednotlivým uživatelům.) Toto má dále zabránit potencionálnímu úniku dat, kdy uživatel sice neodešle data veřejně ven, ale sám sobě nebo někomu interně a následně si je ze svého účtu znovu stáhne, ale při přihlášení mimo síť organizace.

Opravy:

• Opravena podpora integrace pro FortiClient verze 7.0.3 (změnil se drobně formát výstupu).
• Doplnění chybějících textů zpráv pro některé audit logy (PACKAGE_REQUEST_ENTERED_VALID_PASSWORD, PACKAGE_REQUEST_ENTERED_INVALID_PASSWORD).
• Opraveno několik překlepů.

Opravy:

• Ošetření možného souběhu akcí, kdy u zásilky ve frontě čekající na kontroly detekčními nástroji mohlo být administrátorem omylem spuštěno její šifrování, což následně způsobilo nepřístupnost jejích souborů pro detekční nástroje a selhání kontrol. Zásilky ve frontě budou při ručním spuštění šifrování administrátorem přeskočeny.
  • Zaveden nový audit log: PACKAGE_ENCRYPTION_SKIPPED.

Opravy:

• Opravena chyba v integraci některých AV nástrojů (např. Kaspersky), pokud byla instalace provedena na systém s jinou jazykovou verzí než angličtinou (např. němčinou).
• Opravena chyba v situaci, kdy registrovaný uživatel po přihlášení odešle zásilku přes formulář pro anonymní uživatele (např. v jiné záložce). Nyní to již funguje a vzniklá zásilka bude typu soukromá.
• Opravena neočekávaná výjimka nastávající při přístupu na některé neexistující URL (např. při skenu roboty/crawlery).

Opravy:

• Opravena nefunkční aktualizace časové značky posledního příhlášení uživatele při přihlášení přes ADFS bez MFA. (Mohlo ovlivňovat funkci automatického zamykání/mazání uživatelů, pokud byly tyto nové v2.0 funkce zapnuty.)
• Opravena chybná indikace řazení dle sloupců v některých seznamech, pokud mezitím došlo k přepnutí pohledu.

Opravy:

• Opraveno možné odhlášení uživatele po dlouhém uploadu a také související chybu zásilky. Oprava z verze 2.0.0 nebyla plně funční a k odhlášení stále mohlo dojít.
• Opraveno možné přerušení stahování větších souborů po 1 GB při pomalé rychlosti přenosu. (Nutno provést úpravu nginx konfigurace, viz Upgrade notes.)
• Zvýšena závažnost audit logu EMAIL_SEND_FAILED z INFO na ERROR.
• Opraven překlep v HU jazykové verzi.

Opravy:

• Opravena chyba v autorizaci požadavků pro API, která se objevila díky změnám ve verzi 2.0.0.
• Opravena výjimka, která mohla nastat za specifických okolností při skenování obsahu MIME detekčním nástrojem.

Opravy:

• Při zapnuté funkci šifrování nových zásilek se v admin rozhraní ve frontě zásilek se již nezobrazují zbytečně vykřičníky s upozorněním na nezašifrovanou zásilku.
• Zrychleno zobrazení, řazení a některá hledání v audit logu (přidán index v databázi).

Nové funkce:

• Podpora šifrování "encryption at rest" (nutno zapnout v Nastavení - Konfigurace - Šifrování). Umožňuje po dokončení kontroly souborů zásilek detekčními enginy tyto soubory v úložišti aplikace zašifrovat. Podrobnosti viz dokumentace.
  • Podpora šifrování jednotlivých zásilek klíčem odvozeným z hesla nastaveného pro zásilku uživatelem (po zašifrování není nikde v aplikaci uloženo). Bez znalosti a zadání tohoto hesla tak nelze zásilku rozšifrovat a přístup k jejím souborům tak nemá ani administrátor.
• Kontrola integrity dat. U celých zásilek i jednotlivých souborů lze vyvolat kontrolu integrity dat, která spočítá aktuální kontrolní součty (SHA256) a srovná je s těmi z doby nahrání na server. Výsledek je u jednotlivých souborů i zásilky zaznamenán a zobrazen. Pokud je integrita narušena (soubor poškozen), lze odeslat upozornění dle nastavení. Admin může nastavit, zda kontrolu mohou spouštět u zásilek a souborů i uživatelé, nebo ne. Admin rovněž může naplánovat automatickou pravidelnou kontrolu. V Nastavení - Konfigurace - Integrita dat.
• Podpora nového antiviru v detekčních nástrojích - FortiClient (Fortinet antivirus).
• Možnost editace existující zásilky jejím odesílatelem (autorem) a adminem, konkrétně:
  • Admin může nastavit, zda autor může do existující zásilky přidávat nové soubory, nebo z ní mazat existující soubory (oboje ve výchozím stavu zakázáno).
  • Admin může mazat soubory z existujících zásilek a také obnovovat smazané soubory (adminem nebo uživatelem). Uživatel obnovovat smazané soubory nikdy nemůže.
  • Admin může skartovat jednotlivé soubory z existujících zásilek (a uvolnit tak místo v úložišti).
  • Při přidání nového souboru do zásilky dochází k nové notifikaci příjemcům zásilky, obdobně jako při nové zásilce.
• Hromadné akce nad zásilkami. V seznamech zásilek lze vybrat více zásilek najednou a provést nad nimi hromadnou akci, např. typicky je všechny najednou smazat.
• Hromadná změna práv vybraných uživatelů. V seznamu uživatelů lze vybrat více uživatelů najednou a hromadně jim přidat či odebrat zvolená práva.
• Admin může ručně znovu vyvolat (re)test celé zásilky či souboru detekčními nástroji. Vhodné např. pro ověření, zda po aktualizaci signatur anti-viru je zásilka/soubor stále zavirovaný nebo ne.
• Podpora automatické deaktivace a mazání neaktivních uživatelů (Nastavení - Konfigurace - Nastavení uživatelů). Neaktivní uživatele lze po zvoleném čase zamknout (nebudou se moci přihlásit), případně smazat.
• Dočasné uživatelské účty. Admin při zakládání lokálního uživatele může nastavit jeho expiraci. Takový účet pak po uvedeném čase expiruje a je automaticky smazán.
• Lepší podpora pro různé jazyky:
  • Oddělené nastavení primárního jazyka pro e-maily. (Dosud byl určen dle výchozího jazyka aplikace.)
  • Volitelné nastavení sekundárního jazyka pro e-maily. Je-li nastaven, e-mail bude dvojjazyčně, kde druhý jazyk bude následovat pod prvním.
  • Oddělené nastavení jazyka pro syslog. (Dosud byl určen dle výchozího jazyka aplikace.)
  • Přihlášený uživatel si ve svém profilu může nastavit jazyk. V tomto mu pak budou chodit jemu určené e-maily a nikoli dle globálního nastavení primárního a sekundárního jazyka, viz výše.
• Nové notifikace (zapíší se do audit logu a voliteně odešlou na e-mail) na události:
  • Chybu při kontrole zásilky. Z důvodu chyby některého z detekčních enginů byl tento při kontrole zásilky vynechán.
  • Nefunkčnost detekčního enginu. Některý z detekčních enginů přestane být dostupný. Může nastat např. při expiraci licence anti-viru, nefunkčním spojení na sandbox, apod.
  • Docházející místo na disku. Pokud volné místo klesne pod 10% na kterémkoli úložišti zásilek a vybraných systémových cestách (/, /var/log, /var/lib/pgsql, /var/lib/kafka).
• Admin může přesunout zásilku z aktivních do karantény. (Dosud šlo pouze opačně, uvolnit z karantény.)
• Možnost zakázat použít nebezpečná hesla ze známého úniku (služba "have i been pwned?"). Lze zapnout v Nastavení - Konfigurace - Bezpečnost.
• Při zakládání nového účtu administrátora je možné místo přímého zadání hesla účtu odeslat e-mail s odkazem pro nastavení hesla novému administrátorovi. (Obdobně jako u uživatelů.)
• Čítač počtu stažení souborů a archivu zásilky. V detailu zásilky je vidět počet stažení jednotlivých souborů a archivu zásilky (anonymně, přihlášeným uživatelem, adminem). Počítá se pouze dokončené stažení (ze serveru odeslán konec souboru).

Drobné změny:

• Přihlašovací jména již nejsou citlivá na velikost písmen (case insensitive), tj. stejné chování jako např. v Active Directory. ("test" a "Test" je nyní stejný uživatel, dříve byli dva různí)
• Při pohledu na detail zásilky dochází k automatické aktualizaci jejích informací (např. stavu šifrování, kontroly integrity, výsledků kontrol, apod.).
• Upraveno pamatování hesla zásilky:
  • Nastavitelná doba pamatování hesla, viz. Nastavení - Konfigurace - Bezpečnost: "Životnost JWT download tokenů".
  • Pokud není uživatel přihlášený, neukládá se token v prohlížeči (v LocalStorage).
  • Pokud je uživatel přihlášený, zobrazí se mu v dialogu pro zadání hesla zásilky volba "pamatovat heslo po dobu XX minut" (dle nastavení), ve výchozím stavu nezaškrtnutá.
• Na Dashboardu je zobrazen přehled zapnutých detekčních nástrojů a dostupné informace o nich.
• Seznam souborů v zásilce lze řadit dle názvu, typu, data nahrání a velikosti souboru.
• Nastavení požadavků na sílu hesel rozděleno zvlášť pro adminy a zvlášť pro uživatele (dosud bylo společné).
• V zásilkách lze hledat dle příznaků. Lze tedy např. najít všechny zásilky nastavené jako trvalé.
• Filtry nad seznamy zásilek lze schovat do jednořádkové lišty, aby nezabíraly příliš místa na obrazovce.
• Rozděleno zobrazení souborů v zásilce - soubory v karanténě, smazané a skartované zobrazeny zvlášť, v odděleném seznamu.
• Zlepšeno hledání v kontaktech a skupinách kontaktů (lze hledat obsažené skupiny i kontakty).
• Výzvy (zásilky ve stavu výzva) lze mazat.
• Uživatel může "mazat" své příchozí zásilky. Technicky se pouze schovají v jeho pohledu. Opravdové mazání může dělat pouze odesílatel, admin nebo časová expirace.
• I uživatel u přijatých a odeslaných zásilek vidí, zda zásilka je veřejná nebo ne (doposud viděl jen admin).
• Upraven proces obnovy/nastavení hesla na základě e-mailu s odkazem pro nastavení hesla. Nyní obsahuje přímo odkaz s unikátním UUID, který stačí otevřít a nastavit nové heslo. Dříve se po otevření odkazu ještě musel přepisovat token uvedený v těle e-mailu.
  • Odpovídajícím způsobem byly rovněž upraveny výchozí e-mailové šablony pro tyto akce. Pokud instalace používá vlastní upravené šablony, je tyto potřeba aktualizovat dle vzoru nových výchozích šablon.
• Při aktivaci TOTP vícefaktorové autentizace je třeba zadat platný kód z aktivovaného autentikátoru, jinak se aktivace neprovede.
• Ochrana proti opakovanému hádání hesel (bruteforce attack) rozšířena i na opakované pokusy o vícefaktorovou autentizaci (MFA).
• Při změně časů expirace v Nastavení - Konfigurace - Workflow lze volitelně tuto změnu přepočítat i pro stávající zásilky (jinak se změna projeví pouze u nových).
• Podpora nových stavů licence. Původní "demo režim" rozdělen na nový režim "bez licence" (nové instalace bez jakékoli i trial licence) a nově upravený "demo režim" (speciální demo licence), určený pro demonstrační účely.
• Podpora FQDN aliasů. Kromě hlavního FQDN lze licenci vystavit i na další domény a bude funkční a platná pro všechny. Aplikace tak může běžet pod vícero doménami.
• Podpora alternativního https portu - FQDN může kromě domény navíc obsahovat i upravený port, tj. např. https://sofie.sonpo.cz:11443. (Dříve aplikace podporovala jen běh pod nativním https portem 443.)
• API token lze klepnutím zkopírovat do schránky.
• Zrušeny akce u skartovaných zásilek (např. uvolnění z/přesun do karantény), jsou zde zbytečné, obsah je již smazán.
• Stávající heslo v nastavení detekčních enginů (sandboxů) se již nezobrazuje, lze ho pouze změnit na nové.
• V audit log záznamech skryta případná obsažená hesla (nahrazena řetězcem ***).
• Úpravy JWT tokenů:
  • JWT tokeny posílané a uchovávané v prohlížečích jsou nyní šifrované (dříve pouze podepsané) a klient tak nemůže číst jejich obsah.
  • Zkrácena výchozí expirace autentizačních JWT tokenů (= platnost přihlašení při nečinnosti) z 60 na 30 min.
  • Zavedeno nové nastavení (Nastavení - Konfigurace - Bezpečnost) "Maximální životnost autentizačních JWT tokenů", které určuje, po jaké době je uživatel odhlášen i pokud je aktivní.
  • Zavedeno nové nastavení (Nastavení - Konfigurace - Bezpečnost) "Životnost JWT download tokenů", které určuje, jak dlouho se může pamatovat již zadané heslo zásilky.
• Drobná bezpečnostní zlepšení dle výsledků pentestu, včetně:
  • Lepší ochrana proti "session hijacking". Přidána IP adresa a User-Agent do JWT tokenu a pokud se neshodují (změní), požadavek se odmítne a zaloguje.
  • Přidány hlavičky: Cache-Control "no-store", Pragma "no-cache", X-Content-Type-Options "nosniff" a Referrer-Policy "same-origin" do všech odpovědí.
  • Při neočekávané interní chybě/výjimce se již nezobrazí detaily java třídy, ale vlastní chybové stránky neodhalující zbytečné interní detaily.
• Zrušen finální stav zásilky "nahrávání přerušeno" (UPLOAD_CANCELED) a nahrazen společným jednotným stavem "skartovaná" (CONTENT_DELETED).
• Upraven vzhled některých částí aplikace pro lepší přehlednost.
• Nové a upravené audit logy, podrobnosti viz: Seznam a popis jednotlivých typů Audit Log událostí.

Opravy:

• Při dlouhém nahrávání obsahu zásilky dochází k pravidelné obnově přihlášení, takže nemůže dojít k automatickému odhlášení v průběhu nahrávání a tím způsobené následné chybě.
• Opraveno občas podivné chování formuláře při nastavování práv administrátora.
• Opraveno zobrazení uživatelů a dalších řetězců v audit logu a dalších místech, kde se zobrazoval navíc řetězec #časová-značka.
• Řazení výsledků kontrol detekčních enginů v detailu souboru zásilky je nyní dle abecedy podle sloupce "Detekční nástroj".
• Opraveno zobrazení barev u výsledků kontrol - žlutá by měla být konzistentní a vždy znamenat, že došlo k detekci, ale dle nastavení to neznamená blokaci a umístění do karantény, ale pouze notifikaci. (Dříve v některých případech i takové výsledky byly červené.)
• Upravena hláška "Chyba ADFS" na "Chyba přihlášení", pokud se uživatel úspěšně přihlásí v ADFS, ale nemá přístup do SOFiE.
• Opraveno parsování expirace licence u enginu Kaspersky 11.2.
• Oprava nepřítomnosti atributu stavu licence v audit log záznamech LICENSE_INVALID.
• Opraveno možné zdvojení audit logů při změně stavu licence.
• Logo v náhledu Nastavení - Konfigurace - Vzhled se nyní lépe shoduje s tím, jak bude vypadat v horní liště.
• Další různé opravy překlepů, textů, grafiky, apod.

Opravy:

• Aktualizována používaná knihovna log4j na poslední verzi (2.17.0), což opravuje nově objevenou zranitelnost (CVE-2021-45105). V naší aplikaci opět nejsou splněny specifické podmínky pro zneužití, takže se nemůže vůbec projevit. Pro jistotu však znovu vydáváme opravenou verzi s novou verzí knihovny.

Opravy:

• Aktualizována používaná knihovna log4j na poslední verzi (2.16.0), což opravuje nově objevenou zranitelnost (CVE-2021-45046). Původně byla tato zranitelnost hodnocena nižší závažností, ale později byla také přehodnocena na kritickou. V naší aplikaci však nejsou splněny specifické podmínky pro zneužití, takže se pravděpodobně nemůže vůbec projevit. Pro jistotu však opět vydáváme opravenou verzi s novou verzí knihovny.

Opravy:

• Aktualizována používaná knihovna log4j na poslední verzi (2.15.0), což opravuje nově objevenou kritickou zranitelnost (CVE-2021-44228). Vzhledem k závažnosti by aktualizace měla být provedena co nejdříve. Aplikace SOFiE však běží až za proxy serverem nginx a prochází do ní pouze některé URL cesty, což dle našich aktuálních zjištění efektivně filtruje všechny zatím viděné pokusy o zneužití této zranitelnosti, které tak do aplikace vůbec nedojdou a skončí již na nginx serveru. Pro zneužití by byl třeba exploit přímo na míru aplikaci SOFiE, nikoli obecné log4j pokusy šířící se nyní Internetem.