Hallo Ralf,
wenn ich es richtig sehe, dann ist es vermutlich dieser Commit vom 24.04.:
https://github.com/ILIAS-eLearning/ILIAS/commit/ca053ff0c9f847eddc35ce313159...
Dann wäre es für ILIAS 5.1 mit der Version 5.1.18 gefixt.
Für 5.2 kam der Fix bereits mit 5.2.4, dort ist auch der Hinweis unten bei Security Fixes: https://www.ilias.de/docu/goto_docu_pg_75029_35.html
Ansonsten haben vielleicht auch einige das Verzeichnis /setup geschützt, das entschärft zumindest das Problem:
https://github.com/ILIAS-eLearning/ILIAS/blob/trunk/docs/configuration/insta...
Beste Grüße aus Dortmund Marcel
Fachhochschule Dortmund University of Applied Sciences and Arts
Marcel Lopin E-Learning Koordinierungsstelle (Bibliothek) Emil-Figge-Str. 38a, 44227 Dortmund - Raum 1.03 Tel: 0231 755-6298 marcel.lopin@fh-dortmund.de www.fh-dortmund.de www.ilias.fh-dortmund.de
On 06/22/2017 10:00 AM, Ralf Schenk wrote:
Hallo zusammen,
ich finde in den Release-Notes zu 5.2.5 keinerlei Angaben hierzu, wem ist da etwas bekannt ? Ist das auch in 5.1.x gefixt ?
Michael hat gerade Urlaub.
Ist das kritisch?
-----Ursprüngliche Nachricht----- Von: CERT-Bund [mailto:certbund@bsi.bund.de] Gesendet: Donnerstag, 22. Juni 2017 08:17 An: ILIAS Cc: IT-SiBe Betreff: Fwd: [CERT-Bund#2017061828000462] XSS-Schwachstelle auf der Lernplattform HS-Bund
Sehr geehrte Damen und Herren,
wir wurden darüber informiert, dass die Lernplattform der HS-Köln aufgrund einer nicht aktuellen ILIAS-Installation verwundbar für eine XSS-Schwachstelle ist.
Website:https://lernplattform.bund.de/
Location: /setup/setup.php?cmd={inject-here}&lang=de Payload: "><script>alert(1)</script> Vulnerability: XSS Reflected
Versionen von ILIAS < 5.2.5 sind dafür verwundbar. In der aktuellsten Version ist die Schwachstelle behoben.
Wir empfehlen daher, die ILIAS-Installation auf den neusten Stand zu heben.
Mit freundlichen Grüßen das Team CERT-Bund
Im Auftrag Dr. Timo Steffens
-- Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat CK22 - CERT-Bund Godesberger Allee 185-189 D-53175 Bonn Telefon: +49 (0)228 99 9582 5110 Telefax: +49 (0)228 99 9582 7025 Web:https://www.bsi.bund.de/CERT-Bund/ PGP & S/MIME:https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/Ko...
--
*Ralf Schenk* fon +49 (0) 24 05 / 40 83 70 fax +49 (0) 24 05 / 40 83 759 mail *rs@databay.de* mailto:rs@databay.de *Databay AG* Jens-Otto-Krag-Straße 11 D-52146 Würselen *www.databay.de* http://www.databay.de
Sitz/Amtsgericht Aachen • HRB:8437 • USt-IdNr.: DE 210844202 Vorstand: Ralf Schenk, Dipl.-Ing. Jens Conze, Aresch Yavari, Dipl.-Kfm. Philipp Hermanns Aufsichtsratsvorsitzender: Wilhelm Dohmen
ilias-admins mailing list ilias-admins@lists.ilias.de http://lists.ilias.de/cgi-bin/mailman/listinfo/ilias-admins