From marcel.lopin@fh-dortmund.de Thu Jun 22 10:32:01 2017
From: Marcel Lopin <marcel.lopin@fh-dortmund.de>
To: ilias-admins@lists.ilias.de
Subject: Re: [ilAdmins] =?utf-8?q?Sicherheitsl=C3=BCcke?= bekannt ?
Date: Thu, 22 Jun 2017 10:31:49 +0200
Message-ID: <1ef7d517-afa7-6365-1fcf-c8056c958e80@fh-dortmund.de>
In-Reply-To: <c649a016-714f-c6c6-a74e-3ea444a5de87@databay.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============8715670349787188441=="

--===============8715670349787188441==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Hallo Ralf,

wenn ich es richtig sehe, dann ist es vermutlich dieser Commit vom 24.04.:
> https://github.com/ILIAS-eLearning/ILIAS/commit/ca053ff0c9f847eddc35ce31315=
90aab9b9b2303

Dann w=C3=A4re es f=C3=BCr ILIAS 5.1 mit der Version 5.1.18 gefixt.

F=C3=BCr 5.2 kam der Fix bereits mit 5.2.4, dort ist auch der Hinweis unten=20
bei Security Fixes:
https://www.ilias.de/docu/goto_docu_pg_75029_35.html

Ansonsten haben vielleicht auch einige das Verzeichnis /setup gesch=C3=BCtzt,=
=20
das entsch=C3=A4rft zumindest das Problem:
> https://github.com/ILIAS-eLearning/ILIAS/blob/trunk/docs/configuration/inst=
all.md#secure-installation-files

Beste Gr=C3=BC=C3=9Fe aus Dortmund
Marcel


Fachhochschule Dortmund
University of Applied Sciences and Arts

Marcel Lopin
E-Learning Koordinierungsstelle (Bibliothek)
Emil-Figge-Str. 38a, 44227 Dortmund - Raum 1.03
Tel: 0231 755-6298
marcel.lopin(a)fh-dortmund.de
www.fh-dortmund.de
www.ilias.fh-dortmund.de

On 06/22/2017 10:00 AM, Ralf Schenk wrote:
> Hallo zusammen,
>=20
> ich finde in den Release-Notes zu 5.2.5 keinerlei Angaben hierzu, wem=20
> ist da etwas bekannt ? Ist das auch in 5.1.x gefixt ?
>=20
> Michael hat gerade Urlaub.
>=20
> Ist das kritisch?
>=20
>=20
> -----Urspr=C3=BCngliche Nachricht-----
> Von: CERT-Bund [mailto:certbund(a)bsi.bund.de]
> Gesendet: Donnerstag, 22. Juni 2017 08:17
> An: ILIAS
> Cc: IT-SiBe
> Betreff: Fwd: [CERT-Bund#2017061828000462] XSS-Schwachstelle auf der Lernpl=
attform HS-Bund
>=20
> Sehr geehrte Damen und Herren,
>=20
> wir wurden dar=C3=BCber informiert, dass die Lernplattform der HS-K=C3=B6ln=
 aufgrund einer nicht aktuellen ILIAS-Installation verwundbar f=C3=BCr eine X=
SS-Schwachstelle ist.
>=20
> Website:https://lernplattform.bund.de/
>=20
> Location: /setup/setup.php?cmd=3D{inject-here}&lang=3Dde
> Payload: "><script>alert(1)</script>
> Vulnerability: XSS Reflected
>=20
> Versionen von ILIAS < 5.2.5 sind daf=C3=BCr verwundbar. In der aktuellsten =
Version ist die Schwachstelle behoben.
>=20
> Wir empfehlen daher, die ILIAS-Installation auf den neusten Stand zu heben.
>=20
>=20
>=20
> Mit freundlichen Gr=C3=BC=C3=9Fen
> das Team CERT-Bund
>=20
> Im Auftrag
> Dr. Timo Steffens
>=20
> --
> Bundesamt f=C3=BCr Sicherheit in der Informationstechnik (BSI)
> Referat CK22 - CERT-Bund
> Godesberger Allee 185-189
> D-53175 Bonn
> Telefon: +49 (0)228 99 9582 5110
> Telefax: +49 (0)228 99 9582 7025
> Web:https://www.bsi.bund.de/CERT-Bund/
> PGP & S/MIME:https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaete=
n/CERT-Bund/Kontakt/kontakt_node.html
>=20
>=20
> --=20
>=20
>=20
> *Ralf Schenk*
> fon +49 (0) 24 05 / 40 83 70
> fax +49 (0) 24 05 / 40 83 759
> mail *rs(a)databay.de* <mailto:rs(a)databay.de>
> 	=09
> *Databay AG*
> Jens-Otto-Krag-Stra=C3=9Fe 11
> D-52146 W=C3=BCrselen
> *www.databay.de* <http://www.databay.de>
>=20
> Sitz/Amtsgericht Aachen =E2=80=A2 HRB:8437 =E2=80=A2 USt-IdNr.: DE 210844202
> Vorstand: Ralf Schenk, Dipl.-Ing. Jens Conze, Aresch Yavari, Dipl.-Kfm.=20
> Philipp Hermanns
> Aufsichtsratsvorsitzender: Wilhelm Dohmen
>=20
> ------------------------------------------------------------------------
>=20
>=20
> _______________________________________________
> ilias-admins mailing list
> ilias-admins(a)lists.ilias.de
> http://lists.ilias.de/cgi-bin/mailman/listinfo/ilias-admins
>=20


--===============8715670349787188441==
Content-Type: application/pkcs7-signature
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"
MIME-Version: 1.0
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--===============8715670349787188441==--