{"id":14657,"date":"2025-10-13T10:41:47","date_gmt":"2025-10-13T10:41:47","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/10\/13\/bigbluebutton-update-3-0-13-sicherheitsluecken-schliessen-und-chat-sabotage-verhindern\/"},"modified":"2025-10-13T10:41:47","modified_gmt":"2025-10-13T10:41:47","slug":"bigbluebutton-update-3-0-13-sicherheitsluecken-schliessen-und-chat-sabotage-verhindern","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=14657","title":{"rendered":"BigBlueButton-Update 3.0.13: Sicherheitsl\u00fccken schlie\u00dfen und Chat-Sabotage verhindern"},"content":{"rendered":"<p>Die Entwickler des quelloffenen Webkonferenz-Systems BigBlueButton (BBB) haben mit dem Update auf Version 3.0.13 mehrere Schwachstellen geschlossen, die Angreifern erm\u00f6glicht h\u00e4tten, bei Videokonferenzen Schaden anzurichten. Insbesondere h\u00e4tten authentifizierte Angreifer unter bestimmten Bedingungen drei Schwachstellen mit hoher Sicherheitsrelevanz ausnutzen k\u00f6nnen, um den Funktionsumfang von BigBlueButton zu beeintr\u00e4chtigen. Eine dieser M\u00f6glichkeiten war das Sabotieren der Chatfunktionen aller Teilnehmer durch gezielte Manipulationen. Durch Cross-Site-Scripting (XSS) h\u00e4tten sie zudem sch\u00e4dliche Skripte in Meetings einf\u00fcgen und ausf\u00fchren k\u00f6nnen. Im schlimmsten Fall w\u00e4ren sie sogar in der Lage gewesen, aktuelle oder alle laufenden Online-Konferenzen auf dem Server zum Absturz zu bringen, was als Denial-of-Service (DoS)-Angriff bezeichnet wird. Obwohl bislang keine F\u00e4lle von echten Angriffen bekannt sind, empfiehlt sich aufgrund der Schwere der Sicherheitsl\u00fccken ein zeitnahes Update auf die neuere Version.<\/p>\n<p>BigBlueButton ist speziell f\u00fcr den Einsatz in Bildungseinrichtungen konzipiert und findet Anwendung in Schulen und Universit\u00e4ten sowie in Lern- und Inhaltsverwaltungssystemen wie IServ, Moodle oder ILIAS. Die betroffenen Sicherheitsl\u00fccken, CVE-2025-55200 (XSS), CVE-2025-61601 (DoS) und CVE-2025-61602 (DoS), wurden durch fehlerhafte Validierungen in verschiedenen Bereichen des Systems verursacht. Beispielsweise k\u00f6nnte ein Angreifer \u00fcber die Entwicklertools eines Browsers leicht einen unzureichend validierten Emoji-Parameter manipulieren, wodurch der Chatabsturz ausgel\u00f6st wird. \u00c4hnlich funktionieren die Angriffe auf die Abstimmungsfunktion und den XSS-Vektor, wobei gezielte Eingaben spezifische Funktionen des Systems zum Erl\u00f6schen bringen. Detaillierte technische Beschreibungen dieser Schwachstellen sind bei GitHub verf\u00fcgbar. Das Update auf Version 3.0.13 schlie\u00dft diese L\u00fccken. Da Workarounds nicht existieren, raten die Entwickler betroffenen Bildungseinrichtungen dringend zu einem schnellen Aktualisieren der Software, um sich vor m\u00f6glichen Angriffen zu sch\u00fctzen. Angesichts der detaillierten Angriffsbeschreibungen auf GitHub ist zeitnahes Handeln essentiell, um das System und seine Nutzer zuverl\u00e4ssig zu sichern.<\/p>\n<p>Schlagw\u00f6rter: BigBlueButton + XSS + DoS<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Entwickler des quelloffenen Webkonferenz-Systems BigBlueButton (BBB) haben mit dem Update auf Version 3.0.13 mehrere Schwachstellen geschlossen, die Angreifern erm\u00f6glicht h\u00e4tten, bei Videokonferenzen Schaden anzurichten. Insbesondere h\u00e4tten authentifizierte Angreifer unter bestimmten Bedingungen drei Schwachstellen mit hoher Sicherheitsrelevanz ausnutzen k\u00f6nnen, um den Funktionsumfang von BigBlueButton zu beeintr\u00e4chtigen. Eine dieser M\u00f6glichkeiten war&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":14656,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14657","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14657","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14657"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14657\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/14656"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14657"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14657"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14657"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}