ILIAS-Blog
Neuigkeiten und Hintergründe zu ILIAS - dem Open Source LMS
Wichtiges Sicherheitsupdate / Entfernung der Workflow-Engine
Kunkel, Matthias [mkunkel] - 26. Sep 2023, 14:58
Am 21. Juni 2023 hat der ILIAS open source e-Learning e.V. ein wichtiges Security-Update für ILIAS 8 and 7 veröffentlicht. Neben mehreren Security-Fixes, die in den Release-Notes [1] [2] aufgelistet sind, verdient ein Fix besondere Aufmerksamkeit.
Das "Bundesamt für Sicherheit in der Informationstechnik" (BSI) hat bei Untersuchungen gravierende Sicherheitsprobleme im Zusammenhang mit der Workflow Engine (WFE) in ILIAS gefunden. Da diese Probleme in der Gestaltung der Komponente begründet sind, haben das Technical Board und der Produktmanager von ILIAS beschlossen, der Empfehlung des BSI zu folgen und die Workflow Engine aus ILIAS zu entfernen. Die WFE wurde für ILIAS 7 und 8 deaktiviert. Der meiste Code wird mit ILIAS 9 entfernt. Und restliche Softwarebestandteile werden mit ILIAS 10 vollständig entfernt.
Die folgenden Sicherheitsprobleme wurden mit den Bugfix-Releases behoben:
Remote Code Execution in the Workflow Engine (BPMN2 parser)
- Betroffene Versionen: ILIAS ≤ 7.22, ILIAS ≤ 8.2
- Fixed in Version: ILIAS 7.23, ILIAS 8.3
- CVSS-Score: 6.7 (Medium)
- CVE-ID: CVE-2023-36485
Durch das Hochladen einer speziell programmierten Workflow-Definitionsdatei (BPMN2) kann beliebiger Code auf dem Server ausgeführt werden (RCE).
Remote Code Execution in the Workflow Engine (malicious filename)
- Betroffene Versionen: ILIAS ≤ 7.22, ILIAS ≤ 8.2
- Fixed in Version: ILIAS 7.23, ILIAS 8.3
- CVSS-Score: 6.7 (Medium)
- CVE-ID: CVE-2023-36486
Durch das Hochladen einer Workflow-Definitionsdatei mit einem speziell programmierten Dateinamen kann beliebiger Code auf dem Server ausgeführt werden (RCE).
Empfohlenes Vorgehen
Update auf ILIAS ≥ 7.23 oder ≥ 8.3 !
ILIAS 6 und frühere Versionen werden nicht mehr unterstützt. Entsprechend sich auch keine Updates verfügbar. Bitte aktualisieren Sie Ihre Installation umgehend auf eine der oben genannten, unterstützten Versionen.
Disclosure History
- 2023-05-02: Das BSI kontaktiert das erste Mal das ILIAS-Security-Team in dieser Angelegenheit.
- 2023-05-15: Das BSI übersendet Details zu den identifizierten Sicherheitsproblemen.
- 2023-06-12: Der JourFixe entscheidet, die Workflow Engine aus dem Code von ILIAS zu entfernen.
- 2023-06-21: Versionen mit entsprechenden Sicherheitsfixes werden veröffentlicht (7.23 und 8.3)
- 2023-09-26: Veröffentlichung von Details über die entsprechenden Sicherheitsprobleme
[1] https://docu.ilias.de/goto_docu_pg_141711_1719.html
[2] https://docu.ilias.de/goto_docu_pg_141710_1719.html