Alle sonstigen Benutzer einer Datenbasis - Benutzerkennungen mit Berechtigungen auf eine Schule, die ohne Bezug zu einer Person in der Datenbasis (Lehrkraft, unterrichtsbegleitende Person, Verwaltungsperson) angelegt wurden - konnten über die Funktion „Mögliche Benutzer finden und Einrichten“ auch von Administratoren anderer Schulen für deren Schule mit Rollen berechtigt werden.
Beispiel: Admin A legt Schulleiter S für Schule 1 als sonstiger Benutzer an. Admin B richtet S auch als Benutzer für Schule 2 ein. S kann damit beide Schulen in ASV verwalten.
Admin B könnte nun das Passwort von S ändern und sich selbst damit Zugang zu Schule 1 verschaffen.
Insbesondere sind alle bei der Altdatenübernahme angelegten Benutzer schulnnnnXXX solche potenziell gefährlichen Kennungen.
Das einspielen des ASV-Serviceupdates 1.16.700 nimmt einige Veränderungen vor, um diese Sicherheitslücke zu schließen.
Um im Vorfeld des Updates zu ermitteln, welche Zuordnungen von Schulen zu sonstigen Benutzern nach dem Update ggf. neu vorgenommen werden müssen, können Systemadministratoren mit Zugang zur Datenbank durch Ausführung des folgenden SQL-Statements auf dem DSS ermitteln welche Benutzerzuordnungen von der Löschung durch den Update-Installer betroffen sein werden. Dies muss vor dem Update geschehen.
select bss.benutzer_id, b.kennung, ss.schulnummer from asv.svp_benutzer_schule_stamm bss, asv.svp_benutzer b, asv.svp_schule_stamm ss, (select benutzer_id as ben_id, min(create_date) as created from asv.svp_benutzer_schule_stamm where schule_stamm_id not in ('sys', 'svp') group by benutzer_id having count(benutzer_id) > 1) as bsm where bss.create_date > bsm.created and bss.benutzer_id = bsm.ben_id and b.id = bss.benutzer_id and b.art like 'BENUTZER' and bss.schule_stamm_id = ss.id and b.client_key not in ('sys', 'svp');
Anhand der Ausgabe des SQL kann ermittelt werden, ob möglicherweise solche „gekaperten“ Benutzer in der Datenbasis vorhanden waren. Alle anderen Zuordnungen von Benutzern zu Schulen müssen nach dem Update durch Administratoren neu angelegt werden, die Berechtigungen auf diese Schulen besitzen.