Hallo alle zusammen,
uns wurden Sicherheitslücken in der WebUI der lmn 7.1 und 7.2 gemeldet.
Diese wurden mit den updates der WebUI für die 7.2 am 1.2.2024 und für die 7.1 am 4.2.2024 gefixed.
Wer diese Updates noch nicht eingespielt hat, der sollte dies bald tun.
Am 1.2 kam eine Nachricht von „Tom“ (ich nenne ihn mal so: wenn er sich hier Outen will mit seinem richtigen Namen, kann er das ja tun 
) über das Webformular info@linuxmuster.net herein. Diese Nachricht beschrieb detailliert drei Sicherheitsprobleme in der WebUI.
Ich habe mich bei ihm für die Tests bedankt und die Probleme an den Entwickler weitergeleitet.
Später am Tag meldeten sich auch noch seine Lehrer über support@linuxmuster.net und beschrieben die Sicherheitsprobleme ebenfalls (Tom hatte sie auch an seine Lehrer gemeldet). Am gleichen Abend wurde eine neue Version der WebUI für die 7.2 veröffentlicht in denen die Probleme behoben waren.
Drei Tage später für die 7.1.
Im Nachgang habe ich noch viel mit Tom hin und her geschrieben. Er ist in der 11ten Klasse an einer Berufsschule und hat in seiner Freizeit nach den Sicherheitslücken gesucht und diese dann gut beschrieben gemeldet: das hat sehr dazu beigetragen, dass sie schnell gefixed werden konnten.
Ich habe ihm gesagt, wie Dankbar wir sind, das er die Arbeit auf sich genommen hat und die Ergebnisse gemeldet hat.
Der Verein hat ihm eine Belohnung überwiesen: er hatte nicht danach gefragt, wir wollten das von uns aus machen.
Falls ihr seinen Blogpost zu den Lücken lesen wollt, er steht hier (auf Englisch):
https://github.com/c-128/c-128/blob/main/blog/posts/musterhackd.md
Dort beschreibt er die Lücken genauer, und wie er sie gefunden hat.
Vielen Dank Tom.
Und Vielen Dank Arnaud: der zweieinhalb Stunden, nachdem ich ihm die Lücken weitergeleitet hatte, ein neues Paket mit den Fixes für die 7.2 veröffentlicht hat.
Viele Grüße
Holger