OTRS Security Advisorys

Bei jeder Software kann es ab und an vorkommen, dass eine Sicherheitslücke aufgedeckt und behoben wird. Der OTRS Source-Code-Owner OTRS AG geht mit Sicherheitslücken in OTRS vorbildlich um, behebt sie sofort nach Bekanntwerden und informiert anschließend umgehend die OTRS Community.

Den Link zum offiziellen Security Advisory findet Ihr immer am Anfang meiner Artikel zu Sicherheitslücken.

Ergänzend findet sich dann meine eigene, ganz persönliche Einschätzung: Hier muss jeder für sich selbst entscheiden, ob er meiner Sichtweise folgt.

Security Advisory 2015-01

Offizielles Advisory

Sicherheitslücke in OTRS iPhone Schnittstelle iPhoneHandle 

Meine Einschätzung

Für angemeldete OTRS Benutzer (und meines Wissens wirklich nur für angemeldete Benutzer) ist es möglich, über eine Sicherheitslücke in der Schnittstelle das Rechtesystem von OTRS zu manipulieren, und sich weitere Rechte zu verschaffen.

Jeder, der die OTRS iPhone Schnittstelle installiert hat, sollte deshalb das Modul updaten.

Beheben der Sicherheitslücke

Dazu bitte einfach in OTRS anmelden und unter Admin-> Paket-Verwaltung die Paketverwaltung öffnen.

Anschließend im Dropdown-Feld auf der linken Seite „OTRS Free Features“ auswählen und direkt unterhalb aktualisieren.

Jetzt sollte rechts beim Punkt „OTRS iPhoneHandle“ die Option eingeblendet werden, das Paket zu aktualisieren.

Nach der Aktualisierung ist die Sicherheitslücke in OTRS behoben.

Sollte eine Aktualisierung über die Paketverwaltung nicht möglich sein (wegen Proxy oder fehlendem Internetzugriff), bitte die neueste Version des Paketes manuell von https://ftp.otrs.ch/pub/otrs/packages/ herunterladen und installieren.

Security Advisory 2015-02

Offizielles Advisory

Sicherheitslücke in Scheduler Process ID File Access

Meine Einschätzung

Hier handelt es sich nicht im eigentlichen Sinne um eine Sicherheitslücke in OTRS. Allerdings verwendet OTRS für den Betrieb verschiedene Perl-Module, und bei einem dieser Module wurde nun eine Sicherheitslücke entdeckt.

Das Modul heißt Proc::Daemon und wird in OTRS schon im Ordner OTRS_HOME/Kernel/cpan-lib/Proc mitgeliefert.

Beheben der Sicherheitslücke

Zum Beheben der Sicherheitslücke in OTRS gibt es mehrere Möglichkeiten.

Am einfachsten ist es, einfach meinen OTRS Patch 2015-02 herunterzuladen und die beiden Dateien in Eurem OTRS-Verzeichnis durch die aus dem Patch zu ersetzen.[/vc_column_text][vc_column_text]

Bei Problemen oder Fragen kontaktieren Sie uns bitte einfach. Gerne richten wir Ihnen Ihr System so ein, wie Sie es wünschen. Im Rahmen unserer Supportverträge beheben wir auch alle Sicherheitslücken.