Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x
  Drucken

BigBlueButton: Update fürs Webkonferenz-System fixt Denial-of-Service-Lücken

52 Aufrufe

Die Entwickler des quelloffenen Webkonferenz-Systems BigBlueButton (BBB) für Windows- und Linux-Server haben mit einem Update auf Version 3.0.13 mehrere Angriffsmöglichkeiten beseitigt.

Authentifizierte Angreifer hätten aus der Ferne unter bestimmten Voraussetzungen drei Schwachstellen mit hohem Schweregrad ("High") missbrauchen können, um bei Videokonferenzen die Chatfunktionen sämtlicher Nutzer zu sabotieren oder per Cross-Site-Scripting (XSS) schädliche Skripte auszuführen. Darüber hinaus war es auch möglich, das aktuelle Meeting oder schlimmstenfalls alle derzeit auf dem betreffenden Server stattfindenden Online-Konferenzen zum Absturz zu bringen (Denial-of-Service).

Über Exploits beziehungsweise Angriffsversuche in freier Wildbahn ist bislang nichts bekannt. Dennoch empfiehlt sich ein zeitnahes Update.

BBB ist für den Einsatz in Bildungseinrichtungen konzipiert und wird auch hierzulande etwa in Schulen und Universitäten verwendet. Es lässt sich in gängige Lern- und Inhaltsverwaltungssysteme wie IServ, Moodle oder ILIAS einbinden und bringt unter anderem Features für Online-Präsentationen, gemeinsame Notizen (shared notes) und Abstimmungen mit.

Auf einige dieser Features fußen die aktuellen Sicherheitslücken CVE-2025-55200 (XSS, CVSS-v3-Score 7.1), CVE-2025-61601 (DoS, 7.5) und CVE-2025-61602 (DoS, 7.5). So kann ein als Meeting-Teilnehmer angemeldeter Nutzer mit speziell präpariertem Nicknamen die XSS-Lücke durch bestimmte Shared-Notes-Eingaben triggern. Das "Crashen" eines Meetings basiert auf schädlichen Eingaben in die Abstimmungsfunktion. Und der Chat stürzt ab, wenn ein unzureichend validierter Emoji-Parameter manipuliert wird. Letzteres lässt sich recht einfach über die Entwicklertools des Browsers bewerkstelligen.

Nähere technische Details zu den Sicherheitslücken kann man bei GitHub nachlesen:

Ein Update auf Version 3.0.13 schließt die Sicherheitslücken. Die Entwickler raten betroffenen Bildungseinrichtungen, die BBB auf eigenen Servern hosten, zum Aktualisieren der Software; Workarounds gibt es nicht.

Angesichts der detaillierten Angriffsbeschreibungen bei GitHub ist zeitnahes Handeln ratsam.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

(Ursprünglich geschrieben von Heise)
0
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Jeeps nach OTA-Software-Update unbrauchbar
So soll Missbrauch von Palantir-Software verhinder...

Über den Autor

comadmin

comadmin

Updates abonnieren Abo von Updates dieses Autors beenden comadmin
Neueste Beiträge des Autors
Mehr Beiträge vom Autor
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Freitag, 31. Oktober 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Comretix GmbH Logo
ImpressumAGBDisclaimerDatenschutzerklärung