BigBlueButton 2.6.17 veröffentlicht
Liebe Leser,
gestern Abend ist die neue BigBlueButton Version 2.6.17 erschienen. Das Update führt eine bbb-apps-akka Eigenschaft ein, die für bestimmte Konfigurationen benötigt wird, bei denen der Prüfsummen-Algorithmus überschrieben wird. Diese Eigenschaft macht es ab sofort wieder möglich, Breakout-Räume zu benutzen. Des Weiteren wurden einige Dependencies aktualisiert, die mögliche Schwachstellen enthielten.
Vor dem Update konnten bei Breakout-Räumen zwei unterschiedliche Fehler auftreten. Zum einen konnte es vorkommen, dass der Versuch, einem Breakout-Raum beizutreten, einen Prüfsummen-Fehler verursachte. Nutzern war es in diesem Fall nicht möglich, den Breakout-Raum zu betreten. Zudem enthielt die URL eine Fehlermeldung. Des Weiteren funktionierten Breakout-Raum API-Aufrufe nicht, wenn vom Server nur API-Aufrufe mit sha512-Prüfsumme akzeptiert wurden.
Die potenzielle Sicherheitslücke betrifft die npm-Dependencies von BigBlueButton und dort speziell das sanitize-html Package. Hier konnte es zu einer Information Exposure kommen, die es Hackern ermöglichte, Details über die Dateisystemstruktur und Dependencies des Zielservers zu erfahren. Im Zuge von BigBlueButton 2.6.17 erhielt sanitize-html ein Update von Version 2.7.1 auf 2.12.1, wodurch diese Sicherheitslücke geschlossen wurde.
Weitere Informationen zur neuen BigBlueButton Version finden Sie auf Github.
Sowohl aufgrund der Fehlerbehebungen als auch aufgrund der geschlossenen Sicherheitslücke raten wir Ihnen zu einem Update auf BigBlueButton 2.6.17. Wenn Sie unser BigBlueButton Hosting nutzen, dann kümmern wir uns selbstverständlich gerne für Sie um das Update.