NATO und Behörden von kritischer Lücke in Lernplattform ILIAS betroffen

Drei Sicherheitslücken klafften in der offenen Lernplattform ILIAS. Sie ermöglichten es Angreifern mit einem bestehenden Nutzerkonto, dem Administrator Schadcode unterzuschieben und beliebige Dateien auf dem Server anzuzeigen. Die E-Learning-Software wird bei hochrangigen Institutionen wie der NATO eingesetzt. Admins sollten die bereitstehenden Updates einspielen.

Ein kritischer Fehler befand sich in ILIAS 7: Das Modul zur PDF-Erzeugung prüfte Eingabedaten nicht ausreichend und ließ sich so zur Ausführung von Betriebssystemkommandos missbrauchen. René Rehme, der Finder des Sicherheitslecks mit der CVE-ID CVE-2023-45869, stuft diese als "kritisch" ein und vergibt einen CVSS-Wert von 9.0/10. Auch eine lokale Dateiinklusions-Lücke (CVE-2023-45867, "hoch") in ILIAS 7 geht auf das Konto desselben Sicherheitsexperten

.

Eine Sicherheitslücke, die Angreifern erlaubt, beliebige Dateien vom lokalen Dateisystem im Kontext der ILIAS-Oberfläche anzuzeigen und so unter Umständen auch eigene Befehle auszuführen, befindet sich sowohl in ILIAS 7 als auch Version 8. Sie ist mit der Kennung CVE-2023-45868 (CVSS 8.1/10, "hoch") versehen. Der Entdecker ist auch hier René Rehme.

Über den Upload manipulierter ZIP-Dateien in die Mediendatenbank des E-Learning-Systems konnten Angreifer eigenen Code aus der Ferne ausführen – weitere Details über die durch Armin Stock gemeldete Sicherheitslücke sind jedoch nicht bekannt.

Das Entwicklerteam hat bereits reagiert und zwei neue Versionen veröffentlicht. Neben den hochriskanten und kritischen Lücken beheben die aktuellen ILIAS-Ausgaben 7.26 und 8.6 weitere sicherheitsrelevante Fehler sowie mehrere Dutzend andere Bugs. Eine zügige Aktualisierung bietet sich also an.

ILIAS ist besonders bei öffentlichen Institutionen beliebt. So nutzen etwa die Bundeswehr und NATO sowie verschiedene deutsche Hochschulen und Kliniken das freie E-Learning-System.

(cku)