Hallo zusammen,
ich finde in den Release-Notes zu 5.2.5 keinerlei Angaben hierzu, wem ist da etwas bekannt ? Ist das auch in 5.1.x gefixt ?
Michael hat gerade Urlaub.
Ist das kritisch?
-----Ursprüngliche Nachricht----- Von: CERT-Bund [mailto:certbund@bsi.bund.de] Gesendet: Donnerstag, 22. Juni 2017 08:17 An: ILIAS Cc: IT-SiBe Betreff: Fwd: [CERT-Bund#2017061828000462] XSS-Schwachstelle auf der Lernplattform HS-Bund
Sehr geehrte Damen und Herren,
wir wurden darüber informiert, dass die Lernplattform der HS-Köln aufgrund einer nicht aktuellen ILIAS-Installation verwundbar für eine XSS-Schwachstelle ist.
Website: https://lernplattform.bund.de/
Location: /setup/setup.php?cmd={inject-here}&lang=de Payload: "><script>alert(1)</script> Vulnerability: XSS Reflected
Versionen von ILIAS < 5.2.5 sind dafür verwundbar. In der aktuellsten Version ist die Schwachstelle behoben.
Wir empfehlen daher, die ILIAS-Installation auf den neusten Stand zu heben.
Mit freundlichen Grüßen das Team CERT-Bund
Im Auftrag Dr. Timo Steffens
-- Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat CK22 - CERT-Bund Godesberger Allee 185-189 D-53175 Bonn Telefon: +49 (0)228 99 9582 5110 Telefax: +49 (0)228 99 9582 7025 Web: https://www.bsi.bund.de/CERT-Bund/ PGP & S/MIME: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/Ko...
Hallo Ralf,
wenn ich es richtig sehe, dann ist es vermutlich dieser Commit vom 24.04.:
https://github.com/ILIAS-eLearning/ILIAS/commit/ca053ff0c9f847eddc35ce313159...
Dann wäre es für ILIAS 5.1 mit der Version 5.1.18 gefixt.
Für 5.2 kam der Fix bereits mit 5.2.4, dort ist auch der Hinweis unten bei Security Fixes: https://www.ilias.de/docu/goto_docu_pg_75029_35.html
Ansonsten haben vielleicht auch einige das Verzeichnis /setup geschützt, das entschärft zumindest das Problem:
https://github.com/ILIAS-eLearning/ILIAS/blob/trunk/docs/configuration/insta...
Beste Grüße aus Dortmund Marcel
Fachhochschule Dortmund University of Applied Sciences and Arts
Marcel Lopin E-Learning Koordinierungsstelle (Bibliothek) Emil-Figge-Str. 38a, 44227 Dortmund - Raum 1.03 Tel: 0231 755-6298 marcel.lopin@fh-dortmund.de www.fh-dortmund.de www.ilias.fh-dortmund.de
On 06/22/2017 10:00 AM, Ralf Schenk wrote:
Hallo zusammen,
ich finde in den Release-Notes zu 5.2.5 keinerlei Angaben hierzu, wem ist da etwas bekannt ? Ist das auch in 5.1.x gefixt ?
Michael hat gerade Urlaub.
Ist das kritisch?
-----Ursprüngliche Nachricht----- Von: CERT-Bund [mailto:certbund@bsi.bund.de] Gesendet: Donnerstag, 22. Juni 2017 08:17 An: ILIAS Cc: IT-SiBe Betreff: Fwd: [CERT-Bund#2017061828000462] XSS-Schwachstelle auf der Lernplattform HS-Bund
Sehr geehrte Damen und Herren,
wir wurden darüber informiert, dass die Lernplattform der HS-Köln aufgrund einer nicht aktuellen ILIAS-Installation verwundbar für eine XSS-Schwachstelle ist.
Website:https://lernplattform.bund.de/
Location: /setup/setup.php?cmd={inject-here}&lang=de Payload: "><script>alert(1)</script> Vulnerability: XSS Reflected
Versionen von ILIAS < 5.2.5 sind dafür verwundbar. In der aktuellsten Version ist die Schwachstelle behoben.
Wir empfehlen daher, die ILIAS-Installation auf den neusten Stand zu heben.
Mit freundlichen Grüßen das Team CERT-Bund
Im Auftrag Dr. Timo Steffens
-- Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat CK22 - CERT-Bund Godesberger Allee 185-189 D-53175 Bonn Telefon: +49 (0)228 99 9582 5110 Telefax: +49 (0)228 99 9582 7025 Web:https://www.bsi.bund.de/CERT-Bund/ PGP & S/MIME:https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/Ko...
--
*Ralf Schenk* fon +49 (0) 24 05 / 40 83 70 fax +49 (0) 24 05 / 40 83 759 mail *rs@databay.de* mailto:rs@databay.de *Databay AG* Jens-Otto-Krag-Straße 11 D-52146 Würselen *www.databay.de* http://www.databay.de
Sitz/Amtsgericht Aachen • HRB:8437 • USt-IdNr.: DE 210844202 Vorstand: Ralf Schenk, Dipl.-Ing. Jens Conze, Aresch Yavari, Dipl.-Kfm. Philipp Hermanns Aufsichtsratsvorsitzender: Wilhelm Dohmen
ilias-admins mailing list ilias-admins@lists.ilias.de http://lists.ilias.de/cgi-bin/mailman/listinfo/ilias-admins
Am 22.06.17 um 10:00 schrieb Ralf Schenk:
Hallo zusammen,
ich finde in den Release-Notes zu 5.2.5 keinerlei Angaben hierzu, wem ist da etwas bekannt ? Ist das auch in 5.1.x gefixt ?
Michael hat gerade Urlaub.
Ist das kritisch?
Das wird kritisch, wenn ein Admin bei angemeldeter Setup Sitzung auf manipulierte Links von Dritten klickt, die ins ILIAS Setup verweisen. Z.B. in einer Mail oder Webseite.
Michael hat das am 24.4. gefixt, für alle unterstützen Branches. D.h. Releases ab dem 24.4. veröffentlicht wurden enthalten den Fix.
D.h. auch es wurde nicht mit 5.2.5, sondern schon mit 5.2.4 veröffentlicht.
Auf der Releaseseite findet sich ein entsprechender Hinweis: https://www.ilias.de/docu/goto_docu_pg_75029_35.html
LG Alex
-
Alexander Killing -
Marcel Lopin -
Ralf Schenk