ILIAS-Blog

Am 21. Juni 2023 hat der ILIAS open source e-Learning e.V. ein wichtiges Security-Update für ILIAS 8 and 7 veröffentlicht. Neben mehreren Security-Fixes, die in den Release-Notes [1] [2] aufgelistet sind, verdient ein Fix besondere Aufmerksamkeit.

Hinweis: dieser Blogartikel wird entsprechend der Lage weiter aktualisiert. Letztes Update: 22.12.2021. Wir informieren alle interessierten Anwender auch über die bekannten Mailinglisten ilias-admins@lists.ilias.de und developer@lists.ilias.de.

Immer häufiger liest man in den Medien von gezielten Hacks und Attacken auf populäre Software-Plattformen, Datenbanken und Content Management-Systeme. Denn gerade Software, die von vielen Anwenderinnen und Anwendern genutzt wird, kann für Hacker ein lohnendes Ziel sein, um persönliche Daten zu erbeuten.

Als serverbetriebene Software ist theoretisch auch ILIAS durch solche Attacken bedroht. Damit es jedoch gar nicht erst so weit kommt, arbeiten wir hart daran, Fehlern vorzubeugen und bekannt gewordene Lücken rasch zu schließen. Zusammen mit dem Technical Board haben wir eine kleine FAQ angelegt, wie bei ILIAS mit Sicherheitslücken umgegangen wird.

Das Technical Board hat auf der ILIAS-Security-Mailingliste eine Anfrage bezüglich der Sicherheitslücken in ImageMagick erhalten, die letzte Woche bekannt geworden sind (siehe: ImageTragick). Durch Ausnutzung der Lücken könnte ein Angreifer u.a. fremden Code auf dem Server ausführen. Dafür wird nichts weiter benötigt als das Recht, Bilder auf den Server zu übertragen, die z.B. in der Nachbearbeitung durch ImageMagick skaliert werden. Dieses Recht haben in ILIAS alle Benutzer, die Bilder im Persönlichen Profil oder an bestimmten anderen Stellen hinzufügen dürfen. Eine Lösung dieses Problems direkt in ILIAS ist leider kurzfristig nicht möglich.

ILIAS-AdministratorInnen sollten daher eine Policy-Datei verwenden, wie auf der verlinkten Website empfohlen. Dadurch werden die angreifbaren Kodierer/Dekodierer von ImageMagick deaktiviert. Außerdem wurde bereits eine neue Version von ImageMagick veröffentlicht. Wir empfehlen nachdrücklich, auf die neueste Version upzudaten…