Sicherheitslücken in der E-Learning-Software ILIAS entdeckt

In der offenen Lernplattform ILIAS wurden kürzlich drei Sicherheitslücken entdeckt, die es Angreifern ermöglichten, Schadsoftware in das System einzuschleusen und beliebige Dateien auf dem Server einzusehen. Da ILIAS auch von renommierten Institutionen wie der NATO genutzt wird, ist es ratsam, dass Administratoren die verfügbaren Updates installieren.

Besonders gravierend ist ein Fehler in ILIAS 7, der es Angreifern ermöglicht, Betriebssystembefehle auszuführen. Das Modul zur Erzeugung von PDFs überprüfte die eingegebenen Daten nicht ausreichend, wodurch diese Schwachstelle entstand. Der renommierte Sicherheitsexperte René Rehme entdeckte diese Sicherheitslücke und stuft sie als kritisch ein. Sie wurde mit der CVE-ID CVE-2023-45869 versehen und erhält einen CVSS-Wert von 9.0/10.

Des Weiteren fand derselbe Experte eine lokale Dateiinklusions-Lücke (CVE-2023-45867, hoch) in ILIAS 7. Sowohl in ILIAS 7 als auch in Version 8 besteht zudem eine Sicherheitslücke, durch die Angreifer in der ILIAS-Oberfläche beliebige Dateien vom lokalen Dateisystem anzeigen können. Unter bestimmten Umständen können sie sogar eigene Befehle ausführen. Diese Sicherheitslücke trägt die Bezeichnung CVE-2023-45868 und wird mit einem CVSS-Wert von 8.1/10 als hoch eingestuft. Auch diese Lücke wurde von René Rehme aufgedeckt.

Eine weitere Schwachstelle ermöglichte es Angreifern, durch das Hochladen manipulierter ZIP-Dateien in die Mediendatenbank des E-Learning-Systems eigenen Code aus der Ferne auszuführen. Weitere Details zu dieser Sicherheitslücke sind jedoch nicht bekannt, da sie von Armin Stock gemeldet wurde.

Das Entwicklungsteam von ILIAS hat bereits reagiert und zwei neue Versionen veröffentlicht: ILIAS 7.26 und 8.6. Diese Versionen beheben nicht nur hochriskante und kritische Sicherheitslücken, sondern auch andere sicherheitsrelevante Fehler sowie zahlreiche andere Bugs. Es wird daher dringend empfohlen, die Software zeitnah zu aktualisieren.

ILIAS erfreut sich großer Beliebtheit bei öffentlichen Institutionen wie der Bundeswehr, der NATO sowie verschiedenen deutschen Hochschulen und Kliniken, die es als freie E-Learning-Plattform nutzen. Angesichts der aktuellen Sicherheitslücken ist es umso wichtiger, dass diese Institutionen die Updates einspielen, um ihre Daten und Systeme zu schützen.

Schlagwörter: ILIAS + Sicherheitslücken + Aktualisierung

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 27. Oktober 2023
FEHLER!