2018-0466: ILIAS: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2018-03-09 18:03)

Neues Advisory

Betroffene Software

Bildung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in ILIAS ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Reflected Cross-Site-Scripting (XSS)-Angriffs.

Der Hersteller bestätigt die Schwachstelle und stellt die Versionen 5.1.24, 5.2.13 und 5.3.1 als Sicherheitsupdate zur Verfügung.

Aufgrund der medialen Aufmerksamkeit, die diese Software durch die Angriffe auf Einrichtungen des Bundes momentan erhält, sollten bestehende Installationen umgehend auf Aktualität geprüft werden. Bisher ist allerdings noch unklar, ob der Angriff tatsächlich über diese Software und falls ja, ob er über eine bislang unbekannte Schwachstelle erfolgt ist. Dennoch ist ein Anstieg der Angriffe auf bekannte Schwachstellen in älteren Versionen der Software aufgrund der medialen Fokussierung zeitnah möglich.

Zusätzlich ist zu beachten, dass in Standardinstallationen von ILIAS bekannte Zugangsdaten für den Benutzer 'root' verwendet und Administratoren der Software zu keiner Zeit im Installationsvorgang zu einer Änderung des Passworts aufgefordert werden. Es sollte daher sichergestellt werden, dass das Standardpasswort für 'root' nicht verwendet wird.

Schwachstellen:

ILIAS-5-3-1-A

Schwachstelle in ILIAS ermöglicht Reflected Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.