Das AlekSIS®-Team hat ein Sicherheitsproblem in Verbindung mit Client-geschützen OAuth-Ressourcen gefunden. Es handelt sich API-Endpunkte (URLs), die von einer OAuth-Client-ID und einem Client-Secret geschützt werden. Sie werden momentan lediglich in der offiziellen App “Resint” für zeitbasierte Dokumente eingesetzt.

Wenn eine OAuth-Anwendung ohne eine Liste von erlaubten Scopes registriert wurde, konnte diese Anwendung, statt keinen, alle zeitbasierten Dokumente abrufen. Um diesen Fehler auszunutzen hätte ein Angreifer an eine Client-ID und ein Client-Secret für eine OAuth-App ohne eine Liste von erlaubten Scopes herankommen müssen, z. B., indem er diese Informationen von einer öffentlichen Webanwendung, die AlekSIS® für die Authentifzierung nutzt, abgegriffen hätte.

Ohne potenzielle Anwendungen von Drittanbietern zu berücksichtigen, schätzen wir die praktischen Auswirkungen für die offizielle Distribution als gering ein, da der einzige Endpunkt, der diese Funktion nutzt, für die öffentliche Anzeige von Vertretungsplänen auf Digital Signage-Displays vorgesehen ist, und daher nur Informationen liefert, die onehin für die öffentliche Anzeige bestimmt sind.

Das Team hat das Problem für die kommende Version 2.8.2 des AlekSIS-Core behoben und die Korrektur in eine neue Version 2.7.5 für die AlekSIS-Core-Serie zurückportiert, die in der aktuellen offiziellen AlekSIS-Distribution 2021.12 “Bruner” enthalten ist. Eine neue Version der Distribution, 2021.12.1, wurde ebenfalls veröffentlicht. Installationen mit der dokumentierten Installationsmethode aus Handbuch können aktualisiert werden, indem man pip3 install -U aleksis-core==2.7.5 in der virtuellen Umgebung ausführt, um den Core zu aktualisieren, oder pip3 install -U aleksis==2021.12.1, um die gesamte Distribution zu aktualisieren.