From rs@databay.de Thu Jun 22 10:01:46 2017
From: Ralf Schenk <rs@databay.de>
To: ilias-admins@lists.ilias.de
Subject: [ilAdmins] =?utf-8?q?Sicherheitsl=C3=BCcke?= bekannt ?
Date: Thu, 22 Jun 2017 10:00:58 +0200
Message-ID: <c649a016-714f-c6c6-a74e-3ea444a5de87@databay.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============7536000429519428989=="

--===============7536000429519428989==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Hallo zusammen,

ich finde in den Release-Notes zu 5.2.5 keinerlei Angaben hierzu, wem
ist da etwas bekannt ? Ist das auch in 5.1.x gefixt ?

Michael hat gerade Urlaub.

Ist das kritisch?


-----Urspr=C3=BCngliche Nachricht-----
Von: CERT-Bund [mailto:certbund(a)bsi.bund.de]
Gesendet: Donnerstag, 22. Juni 2017 08:17
An: ILIAS
Cc: IT-SiBe
Betreff: Fwd: [CERT-Bund#2017061828000462] XSS-Schwachstelle auf der Lernplat=
tform HS-Bund

Sehr geehrte Damen und Herren,

wir wurden dar=C3=BCber informiert, dass die Lernplattform der HS-K=C3=B6ln a=
ufgrund einer nicht aktuellen ILIAS-Installation verwundbar f=C3=BCr eine XSS=
-Schwachstelle ist.

Website: https://lernplattform.bund.de/

Location: /setup/setup.php?cmd=3D{inject-here}&lang=3Dde
Payload: "><script>alert(1)</script>
Vulnerability: XSS Reflected

Versionen von ILIAS < 5.2.5 sind daf=C3=BCr verwundbar. In der aktuellsten Ve=
rsion ist die Schwachstelle behoben.

Wir empfehlen daher, die ILIAS-Installation auf den neusten Stand zu heben.



Mit freundlichen Gr=C3=BC=C3=9Fen
das Team CERT-Bund

Im Auftrag
Dr. Timo Steffens

--
Bundesamt f=C3=BCr Sicherheit in der Informationstechnik (BSI)
Referat CK22 - CERT-Bund
Godesberger Allee 185-189
D-53175 Bonn
Telefon: +49 (0)228 99 9582 5110
Telefax: +49 (0)228 99 9582 7025
Web: https://www.bsi.bund.de/CERT-Bund/
PGP & S/MIME: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten=
/CERT-Bund/Kontakt/kontakt_node.html


--=20


*Ralf Schenk*
fon +49 (0) 24 05 / 40 83 70
fax +49 (0) 24 05 / 40 83 759
mail *rs(a)databay.de* <mailto:rs(a)databay.de>
	  =09
*Databay AG*
Jens-Otto-Krag-Stra=C3=9Fe 11
D-52146 W=C3=BCrselen
*www.databay.de* <http://www.databay.de>

Sitz/Amtsgericht Aachen =E2=80=A2 HRB:8437 =E2=80=A2 USt-IdNr.: DE 210844202
Vorstand: Ralf Schenk, Dipl.-Ing. Jens Conze, Aresch Yavari, Dipl.-Kfm.
Philipp Hermanns
Aufsichtsratsvorsitzender: Wilhelm Dohmen

------------------------------------------------------------------------



--===============7536000429519428989==
Content-Type: text/html
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="attachment.html"
MIME-Version: 1.0
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--===============7536000429519428989==
Content-Type: image/gif
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="holpiafpfoiffjni.gif"
MIME-Version: 1.0
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=

--===============7536000429519428989==--


From marcel.lopin@fh-dortmund.de Thu Jun 22 10:32:01 2017
From: Marcel Lopin <marcel.lopin@fh-dortmund.de>
To: ilias-admins@lists.ilias.de
Subject: Re: [ilAdmins] =?utf-8?q?Sicherheitsl=C3=BCcke?= bekannt ?
Date: Thu, 22 Jun 2017 10:31:49 +0200
Message-ID: <1ef7d517-afa7-6365-1fcf-c8056c958e80@fh-dortmund.de>
In-Reply-To: <c649a016-714f-c6c6-a74e-3ea444a5de87@databay.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============7610646722928825841=="

--===============7610646722928825841==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Hallo Ralf,

wenn ich es richtig sehe, dann ist es vermutlich dieser Commit vom 24.04.:
> https://github.com/ILIAS-eLearning/ILIAS/commit/ca053ff0c9f847eddc35ce31315=
90aab9b9b2303

Dann w=C3=A4re es f=C3=BCr ILIAS 5.1 mit der Version 5.1.18 gefixt.

F=C3=BCr 5.2 kam der Fix bereits mit 5.2.4, dort ist auch der Hinweis unten=20
bei Security Fixes:
https://www.ilias.de/docu/goto_docu_pg_75029_35.html

Ansonsten haben vielleicht auch einige das Verzeichnis /setup gesch=C3=BCtzt,=
=20
das entsch=C3=A4rft zumindest das Problem:
> https://github.com/ILIAS-eLearning/ILIAS/blob/trunk/docs/configuration/inst=
all.md#secure-installation-files

Beste Gr=C3=BC=C3=9Fe aus Dortmund
Marcel


Fachhochschule Dortmund
University of Applied Sciences and Arts

Marcel Lopin
E-Learning Koordinierungsstelle (Bibliothek)
Emil-Figge-Str. 38a, 44227 Dortmund - Raum 1.03
Tel: 0231 755-6298
marcel.lopin(a)fh-dortmund.de
www.fh-dortmund.de
www.ilias.fh-dortmund.de

On 06/22/2017 10:00 AM, Ralf Schenk wrote:
> Hallo zusammen,
>=20
> ich finde in den Release-Notes zu 5.2.5 keinerlei Angaben hierzu, wem=20
> ist da etwas bekannt ? Ist das auch in 5.1.x gefixt ?
>=20
> Michael hat gerade Urlaub.
>=20
> Ist das kritisch?
>=20
>=20
> -----Urspr=C3=BCngliche Nachricht-----
> Von: CERT-Bund [mailto:certbund(a)bsi.bund.de]
> Gesendet: Donnerstag, 22. Juni 2017 08:17
> An: ILIAS
> Cc: IT-SiBe
> Betreff: Fwd: [CERT-Bund#2017061828000462] XSS-Schwachstelle auf der Lernpl=
attform HS-Bund
>=20
> Sehr geehrte Damen und Herren,
>=20
> wir wurden dar=C3=BCber informiert, dass die Lernplattform der HS-K=C3=B6ln=
 aufgrund einer nicht aktuellen ILIAS-Installation verwundbar f=C3=BCr eine X=
SS-Schwachstelle ist.
>=20
> Website:https://lernplattform.bund.de/
>=20
> Location: /setup/setup.php?cmd=3D{inject-here}&lang=3Dde
> Payload: "><script>alert(1)</script>
> Vulnerability: XSS Reflected
>=20
> Versionen von ILIAS < 5.2.5 sind daf=C3=BCr verwundbar. In der aktuellsten =
Version ist die Schwachstelle behoben.
>=20
> Wir empfehlen daher, die ILIAS-Installation auf den neusten Stand zu heben.
>=20
>=20
>=20
> Mit freundlichen Gr=C3=BC=C3=9Fen
> das Team CERT-Bund
>=20
> Im Auftrag
> Dr. Timo Steffens
>=20
> --
> Bundesamt f=C3=BCr Sicherheit in der Informationstechnik (BSI)
> Referat CK22 - CERT-Bund
> Godesberger Allee 185-189
> D-53175 Bonn
> Telefon: +49 (0)228 99 9582 5110
> Telefax: +49 (0)228 99 9582 7025
> Web:https://www.bsi.bund.de/CERT-Bund/
> PGP & S/MIME:https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaete=
n/CERT-Bund/Kontakt/kontakt_node.html
>=20
>=20
> --=20
>=20
>=20
> *Ralf Schenk*
> fon +49 (0) 24 05 / 40 83 70
> fax +49 (0) 24 05 / 40 83 759
> mail *rs(a)databay.de* <mailto:rs(a)databay.de>
> 	=09
> *Databay AG*
> Jens-Otto-Krag-Stra=C3=9Fe 11
> D-52146 W=C3=BCrselen
> *www.databay.de* <http://www.databay.de>
>=20
> Sitz/Amtsgericht Aachen =E2=80=A2 HRB:8437 =E2=80=A2 USt-IdNr.: DE 210844202
> Vorstand: Ralf Schenk, Dipl.-Ing. Jens Conze, Aresch Yavari, Dipl.-Kfm.=20
> Philipp Hermanns
> Aufsichtsratsvorsitzender: Wilhelm Dohmen
>=20
> ------------------------------------------------------------------------
>=20
>=20
> _______________________________________________
> ilias-admins mailing list
> ilias-admins(a)lists.ilias.de
> http://lists.ilias.de/cgi-bin/mailman/listinfo/ilias-admins
>=20


--===============7610646722928825841==
Content-Type: application/pkcs7-signature
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"
MIME-Version: 1.0
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--===============7610646722928825841==--


From killing@leifos.com Thu Jun 22 10:34:55 2017
From: Alexander Killing <killing@leifos.com>
To: ilias-admins@lists.ilias.de
Subject: Re: [ilAdmins] =?utf-8?q?Sicherheitsl=C3=BCcke?= bekannt ?
Date: Thu, 22 Jun 2017 10:34:45 +0200
Message-ID: <1c216c0b-f018-d286-02c5-7c80222d4c95@leifos.com>
In-Reply-To: <c649a016-714f-c6c6-a74e-3ea444a5de87@databay.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============2657407692557552784=="

--===============2657407692557552784==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Am 22.06.17 um 10:00 schrieb Ralf Schenk:
> Hallo zusammen,
>=20
> ich finde in den Release-Notes zu 5.2.5 keinerlei Angaben hierzu, wem
> ist da etwas bekannt ? Ist das auch in 5.1.x gefixt ?
>=20
> Michael hat gerade Urlaub.
>=20
> Ist das kritisch?

Das wird kritisch, wenn ein Admin bei angemeldeter Setup Sitzung auf
manipulierte Links von Dritten klickt, die ins ILIAS Setup verweisen.
Z.B. in einer Mail oder Webseite.

Michael hat das am 24.4. gefixt, f=C3=BCr alle unterst=C3=BCtzen Branches. D.=
h.
Releases ab dem 24.4. ver=C3=B6ffentlicht wurden enthalten den Fix.

D.h. auch es wurde nicht mit 5.2.5, sondern schon mit 5.2.4 ver=C3=B6ffentlic=
ht.

Auf der Releaseseite findet sich ein entsprechender Hinweis:
https://www.ilias.de/docu/goto_docu_pg_75029_35.html

LG
Alex


--=20
LEIFOS GmbH
Alexander Killing
Ebertplatz 14-16, 50668 K=C3=B6ln
Tel: +49.221.12071890

killing(a)leifos.com

Gesellschaft mit beschr=C3=A4nkter Haftung
Sitz der Gesellschaft: K=C3=B6ln
Eingetragen beim Handelsregister Amtsgericht K=C3=B6ln (HRB 63686)

Gesch=C3=A4ftsf=C3=BChrer: Alexander Killing, Stefan Meyer, Alexandra T=C3=B6=
dt
-----------------------------------

Hinweis: Die Information dieser E-Mail einschlie=C3=9Flich der Anlagen ist
vertraulich und nur f=C3=BCr den oben genannten Adressaten bestimmt. Sollten
Sie nicht der Empf=C3=A4nger sein, weisen wir darauf hin, dass die
Weitergabe, Offenlegung, Nachahmung oder der sonstige Gebrauch durch
Nichtadressaten oder durch den Adressaten au=C3=9Ferhalb des
=C3=9Cbersendungszwecks nicht erlaubt ist. Sollten Sie diese E-Mail
irrt=C3=BCmlich erhalten haben, m=C3=B6chten wir Sie bitten, uns umgehend
telefonisch oder per E-Mail zu informieren und diese Information
vollst=C3=A4ndig zu l=C3=B6schen. F=C3=BCr Ihr Entgegenkommen bedanken wir un=
s schon heute.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.


--===============2657407692557552784==--