{"id":877,"date":"2023-10-27T16:38:02","date_gmt":"2023-10-27T16:38:02","guid":{"rendered":"https:\/\/byte-bucket.com\/2023\/10\/27\/sicherheitsluecken-in-der-e-learning-software-ilias-entdeckt\/"},"modified":"2023-10-27T16:38:02","modified_gmt":"2023-10-27T16:38:02","slug":"sicherheitsluecken-in-der-e-learning-software-ilias-entdeckt","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=877","title":{"rendered":"Sicherheitsl\u00fccken in der E-Learning-Software ILIAS entdeckt"},"content":{"rendered":"<p>In der offenen Lernplattform ILIAS wurden k\u00fcrzlich drei Sicherheitsl\u00fccken entdeckt, die es Angreifern erm\u00f6glichten, Schadsoftware in das System einzuschleusen und beliebige Dateien auf dem Server einzusehen. Da ILIAS auch von renommierten Institutionen wie der NATO genutzt wird, ist es ratsam, dass Administratoren die verf\u00fcgbaren Updates installieren.<\/p>\n<p>Besonders gravierend ist ein Fehler in ILIAS 7, der es Angreifern erm\u00f6glicht, Betriebssystembefehle auszuf\u00fchren. Das Modul zur Erzeugung von PDFs \u00fcberpr\u00fcfte die eingegebenen Daten nicht ausreichend, wodurch diese Schwachstelle entstand. Der renommierte Sicherheitsexperte Ren\u00e9 Rehme entdeckte diese Sicherheitsl\u00fccke und stuft sie als kritisch ein. Sie wurde mit der CVE-ID CVE-2023-45869 versehen und erh\u00e4lt einen CVSS-Wert von 9.0\/10.<\/p>\n<p>Des Weiteren fand derselbe Experte eine lokale Dateiinklusions-L\u00fccke (CVE-2023-45867, hoch) in ILIAS 7. Sowohl in ILIAS 7 als auch in Version 8 besteht zudem eine Sicherheitsl\u00fccke, durch die Angreifer in der ILIAS-Oberfl\u00e4che beliebige Dateien vom lokalen Dateisystem anzeigen k\u00f6nnen. Unter bestimmten Umst\u00e4nden k\u00f6nnen sie sogar eigene Befehle ausf\u00fchren. Diese Sicherheitsl\u00fccke tr\u00e4gt die Bezeichnung CVE-2023-45868 und wird mit einem CVSS-Wert von 8.1\/10 als hoch eingestuft. Auch diese L\u00fccke wurde von Ren\u00e9 Rehme aufgedeckt.<\/p>\n<p>Eine weitere Schwachstelle erm\u00f6glichte es Angreifern, durch das Hochladen manipulierter ZIP-Dateien in die Mediendatenbank des E-Learning-Systems eigenen Code aus der Ferne auszuf\u00fchren. Weitere Details zu dieser Sicherheitsl\u00fccke sind jedoch nicht bekannt, da sie von Armin Stock gemeldet wurde.<\/p>\n<p>Das Entwicklungsteam von ILIAS hat bereits reagiert und zwei neue Versionen ver\u00f6ffentlicht: ILIAS 7.26 und 8.6. Diese Versionen beheben nicht nur hochriskante und kritische Sicherheitsl\u00fccken, sondern auch andere sicherheitsrelevante Fehler sowie zahlreiche andere Bugs. Es wird daher dringend empfohlen, die Software zeitnah zu aktualisieren.<\/p>\n<p>ILIAS erfreut sich gro\u00dfer Beliebtheit bei \u00f6ffentlichen Institutionen wie der Bundeswehr, der NATO sowie verschiedenen deutschen Hochschulen und Kliniken, die es als freie E-Learning-Plattform nutzen. Angesichts der aktuellen Sicherheitsl\u00fccken ist es umso wichtiger, dass diese Institutionen die Updates einspielen, um ihre Daten und Systeme zu sch\u00fctzen.<\/p>\n<p>Schlagw\u00f6rter: ILIAS + Sicherheitsl\u00fccken + Aktualisierung<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In der offenen Lernplattform ILIAS wurden k\u00fcrzlich drei Sicherheitsl\u00fccken entdeckt, die es Angreifern erm\u00f6glichten, Schadsoftware in das System einzuschleusen und beliebige Dateien auf dem Server einzusehen. Da ILIAS auch von renommierten Institutionen wie der NATO genutzt wird, ist es ratsam, dass Administratoren die verf\u00fcgbaren Updates installieren. Besonders gravierend ist ein&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":876,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-877","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/877","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=877"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/877\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/876"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=877"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=877"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=877"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}