Mit dem OTRS Security Advisory 2019-01 wird ein Sicherheits-Update für die OTRS Versionen 5 und 6 verfügbar, das ein unerlaubtes Ausführen von JavaScript durch angemeldete Benutzer verhindert.
Hier finden Sie die neuesten Releases.

Sicherheits-Update für OTRS Framework

Mit dem OTRS Security Advisory 2018-10 wurde heute ein Sicherheits-Update für die OTRS Versionen 5 und 6 veröffentlicht.

 

Sicherheitslücke

Keine klassische Sicherheitslücke, aber doch ärgerlich: Beim Update auf OTRS 6.0.13 (auch Patchlevel Updates) oder 5.0.31 (nur Major Updates) gehen Daten aus den Agenten-Einstellungen verloren.

 

Betroffene Versionen

Betroffen sind OTRS-Installationen der Versionen OTRS 5.0.x und OTRS 6.0.x.

Wenn Sie  eine dieser Versionen in Betrieb haben, empfehlen wir ein Update auf das jeweils aktuellste OTRS Release (OTRS 5.0.32, OTRS 6.0.14).

 

Beheben der Sicherheitslücke

Die Sicherheitslücke kann durch ein Update auf das jeweils letzte OTRS Release behoben werden.

Sollten Sie die Migration auf die beiden betroffenen Versionen bereits vorgenommen haben, können Sie als Workaround die Tabelle mit den user_preferences aus dem Backup wiederherstellen und via otrs/bin/otrs.Console.pl Maint::Delete::Cache den OTRS Cache leeren. Ist das LDAP Sync Modul im Einsatz, genügt es, sich erneut am System anzumelden.

 

Detaillierte Informationen zu den Neuerungen der aktuellen Releases finden Sie hier:

Die aktuellen OTRS Releases finden Sie im Downloadbereich.

 

Offizielles Advisory

Security Advisory 2018-10

 

Bei Problemen oder Fragen kontaktieren Sie uns bitte einfach. Gerne richten wir Ihnen Ihr System so ein, wie Sie es wünschen.
Im Rahmen unserer Supportverträge beheben wir auch alle Sicherheitslücken.

Sicherheits-Update für OTRS Framework

Mit dem Security Advisory 2018-09 wurde heute ein Sicherheits-Update für die OTRS Versionen 4 und 5 veröffentlicht.

 

Sicherheitslücke (Priorität: 7.2 High)

Die im OTRS Security Advisory 2018-09 als schwerwiegend eingestufte Sicherheitslücke (Severity: 7.2 High) ermöglicht es als OTRS Admin eingeloggten Angreifern, die URL so zu manipulieren, dass im OTRS-Kontext JavaScript ausgeführt werden könnte.

 

Betroffene Versionen

Betroffen sind OTRS-Installationen der Versionen OTRS 5.0.x und OTRS 4.0.x.

Wenn Sie  eine dieser Versionen in Betrieb haben, empfehlen wir ein Update auf das jeweils aktuellste OTRS Release (OTRS 5.0.31, OTRS 4.0.33).

 

Beheben der Sicherheitslücke

Die Sicherheitslücke kann durch ein Update auf das jeweils letzte OTRS Release behoben werden.

Bitte beachten Sie, dass zudem folgende SQL Clean-up Statements ausgeführt werden müssen, um möglicherweise kompromittierte Datensätze zu entfernen:

DELETE FROM user_preferences WHERE
    preferences_key = 'UserID' OR
    preferences_key = 'UserLogin' OR
    preferences_key = 'UserPw' OR
    preferences_key = 'UserFirstname' OR
    preferences_key = 'UserLastname' OR
    preferences_key = 'UserFullname' OR
    preferences_key = 'UserTitle' OR
    preferences_key = 'ChangeTime' OR
    preferences_key = 'CreateTime' OR
    preferences_key = 'ValidID' OR
    preferences_key LIKE 'UserIsGroup%';

DELETE FROM customer_preferences WHERE
    preferences_key = 'UserID' OR
    preferences_key = 'UserLogin' OR
    preferences_key = 'UserPassword' OR
    preferences_key = 'UserFirstname' OR
    preferences_key = 'UserLastname' OR
    preferences_key = 'UserFullname' OR
    preferences_key = 'UserStreet' OR
    preferences_key = 'UserCity' OR
    preferences_key = 'UserZip' OR
    preferences_key = 'UserCountry' OR
    preferences_key = 'UserComment' OR
    preferences_key = 'UserCustomerID' OR
    preferences_key = 'UserTitle' OR
    preferences_key = 'UserEmail' OR
    preferences_key = 'UserPhone' OR
    preferences_key = 'UserMobile' OR
    preferences_key = 'UserFax' OR
    preferences_key = 'UserMailString' OR
    preferences_key = 'ChangeTime' OR
    preferences_key = 'ChangeBy' OR
    preferences_key = 'CreateTime' OR
    preferences_key = 'CreateBy' OR
    preferences_key = 'ValidID' OR
    preferences_key LIKE 'UserIsGroup%';

 

Detaillierte Informationen zu den Neuerungen der aktuellen Releases finden Sie hier:

Die aktuellen OTRS Releases finden Sie im Downloadbereich.

 

Offizielles Advisory

Security Advisory 2018-09

 

Bei Problemen oder Fragen kontaktieren Sie uns bitte einfach. Gerne richten wir Ihnen Ihr System so ein, wie Sie es wünschen.
Im Rahmen unserer Supportverträge beheben wir auch alle Sicherheitslücken.

Sicherheits-Update für OTRS Framework

Mit dem OTRS Security Advisory 2018-08 wurde heute ein Sicherheits-Update für OTRS 6 veröffentlicht.

 

Sicherheitslücke

Die im OTRS Security Advisory 2018-08 als geringfügig eingestufte Sicherheitslücke (3.9. low) ermöglicht als OTRS Admin eingeloggten Angreifern, die URL so zu manipulieren, dass im OTRS-Kontext JavaScript ausgeführt werden könnte.

 

Betroffene Versionen

Betroffen sind OTRS-Installationen der Versionen OTRS 6.0.x bis einschließlich 6.0.12.

Wenn Sie  eine dieser Versionen in Betrieb haben, empfehlen wir ein Update auf das aktuellste OTRS Release OTRS 6.0.13.

 

Beheben der Sicherheitslücke

Die Sicherheitslücke kann ganz einfach durch ein Update auf das letzte OTRS Release behoben werden.

Detaillierte Informationen zu den Neuerungen in OTRS 6.0.13 finden Sie hier:

Technische Details
Release Notes

Das aktuelle OTRS Release finden Sie im Downloadbereich.

 

Offizielles Advisory

Security Advisory 2018-08

 

Bei Problemen oder Fragen kontaktieren Sie uns bitte einfach. Gerne richten wir Ihnen Ihr System so ein, wie Sie es wünschen.
Im Rahmen unserer Supportverträge beheben wir auch alle Sicherheitslücken.

Mit dem OTRS Security Advisory 2018-07 wird ein Sicherheits-Update für die OTRS Versionen 4, 5 und 6 verfügbar.
Neben einer Beschreibung der Sicherheitslücke findet Ihr hier auch die jeweils aktuellsten OTRS Releases und Informationen zu den Neuerungen.

Sicherheits-Update für OTRS Framework

Mit dem OTRS Security Advisory 2018-06 wurde heute ein Sicherheits-Update für OTRS 6 veröffentlicht. Das neue Release behebt folgende Sicherheitslücke:

 

Sicherheitslücke

Die im OTRS Security Advisory 2018-06 beschriebene Sicherheitslücke ermöglicht folgendes Szenario: Schickt ein Angreifer  eine E-Mail mit einem manipulierten Link an OTRS oder einen OTRS Agenten und wird dieser von einem angemeldeten OTRS Benutzer geöffnet, so könnte dies zur Ausführung von JavaScript im OTRS-Kontext führen.

 

Betroffene Versionen

Betroffen sind OTRS-Installationen der Versionen OTRS 6.0.x bis einschließlich 6.0.11.

Wenn Sie  eine dieser Versionen in Betrieb haben, empfehlen wir ein Update auf das aktuellste OTRS Release.

 

Beheben der Sicherheitslücke

Die Sicherheitslücke kann ganz einfach durch ein Update auf das letzte OTRS Release behoben werden.

Detaillierte Informationen zu den Neuerungen in Version 6.0.12 finden Sie in den Release Notes.

Das letzte OTRS Release finden Sie hier.

 

Offizielles Advisory

Security Advisory 2018-06

 

Bei Problemen oder Fragen kontaktieren Sie uns bitte einfach. Gerne richten wir Ihnen Ihr System so ein, wie Sie es wünschen.
Im Rahmen unserer Supportverträge beheben wir auch alle Sicherheitslücken.

OTRS Security Advisory 2018-03

Sicherheitslücke in OTRS Framework

Unsere Einschätzung

Laut OTRS Security Advisory 2018-03 ist es für angemeldete OTRS Benutzer (und meines Wissens wirklich nur für angemeldete Benutzer) möglich, durch den Aufruf einer speziellen URL durch eine Sicherheitslücke im OTRS Framework erweiterte Berechtigungen zu erhalten.

Betroffen sind OTRS-Installationen der Versionen 6.0.x bis einschließlich 6.0.9, Version 5.0.x bis einschließlich 5.0.28 sowie Version 4.0.x bis einschließlich 4.0.30 . Wer eine dieser Versionen in Betrieb hat, sollte unbedingt ein Update auf die aktuellste OTRS Version durchführen.

Offizielles Advisory

Sicherheitslücke in OTRS Framework

Beheben der Sicherheitslücke

Die Sicherheitslücke kann ganz einfach durch ein Update auf das letzte OTRS Release behoben werden.

Detaillierte Informationen zu den Änderungen gibt es hier.

Das letzte OTRS Release finden Sie hier.

Bei Problemen oder Fragen kontaktieren Sie uns bitte einfach. Gerne richten wir Ihnen Ihr System so ein, wie Sie es wünschen. Im Rahmen unserer Supportverträge beheben wir auch alle Sicherheitslücken.

OTRS Security Advisory 2018-01

Sicherheitslücke in OTRS Framework

Unsere Einschätzung

Für angemeldete OTRS Benutzer (und meines Wissens wirklich nur für angemeldete Benutzer) ist es möglich, in der Ticketübersicht über eine Sicherheitslücke in OTRS Framework auf interne Artikeldaten Ihrer Tickets zuzugreifen.

Betroffen sind OTRS Installationen der Versionen 6.0.x bis 6.0.6. Wer eine dieser Versionen in Betrieb hat, sollte unbedingt ein Update auf die aktuellste OTRS Version durchführen.

Offizielles Advisory

Sicherheitslücke in OTRS Framework

Beheben der Sicherheitslücke

Die Sicherheitslücke kann ganz einfach durch ein Update auf das letzte OTRS Release behoben werden.

Detaillierte Informationen zu den Änderungen gibt es hier.

Das letzte OTRS Release finden Sie hier.

Bei Problemen oder Fragen kontaktieren Sie uns bitte einfach. Gerne richten wir Ihnen Ihr System so ein, wie Sie es wünschen. Im Rahmen unserer Supportverträge beheben wir auch alle Sicherheitslücken.

OTRS Security Advisorys

Bei jeder Software kann es ab und an vorkommen, dass eine Sicherheitslücke aufgedeckt und behoben wird. Der OTRS Source-Code-Owner OTRS AG geht mit Sicherheitslücken in OTRS vorbildlich um, behebt sie sofort nach Bekanntwerden und informiert anschließend umgehend die OTRS Community.

Den Link zum offiziellen Security Advisory findet Ihr immer am Anfang meiner Artikel zu Sicherheitslücken.

Ergänzend findet sich dann meine eigene, ganz persönliche Einschätzung: Hier muss jeder für sich selbst entscheiden, ob er meiner Sichtweise folgt.

Security Advisory 2015-01

Offizielles Advisory

Sicherheitslücke in OTRS iPhone Schnittstelle iPhoneHandle 

Meine Einschätzung

Für angemeldete OTRS Benutzer (und meines Wissens wirklich nur für angemeldete Benutzer) ist es möglich, über eine Sicherheitslücke in der Schnittstelle das Rechtesystem von OTRS zu manipulieren, und sich weitere Rechte zu verschaffen.

Jeder, der die OTRS iPhone Schnittstelle installiert hat, sollte deshalb das Modul updaten.

Beheben der Sicherheitslücke

Dazu bitte einfach in OTRS anmelden und unter Admin-> Paket-Verwaltung die Paketverwaltung öffnen.

Anschließend im Dropdown-Feld auf der linken Seite „OTRS Free Features“ auswählen und direkt unterhalb aktualisieren.

Jetzt sollte rechts beim Punkt „OTRS iPhoneHandle“ die Option eingeblendet werden, das Paket zu aktualisieren.

Nach der Aktualisierung ist die Sicherheitslücke in OTRS behoben.

Sollte eine Aktualisierung über die Paketverwaltung nicht möglich sein (wegen Proxy oder fehlendem Internetzugriff), bitte die neueste Version des Paketes manuell von https://ftp.otrs.ch/pub/otrs/packages/ herunterladen und installieren.

Security Advisory 2015-02

Offizielles Advisory

Sicherheitslücke in Scheduler Process ID File Access

Meine Einschätzung

Hier handelt es sich nicht im eigentlichen Sinne um eine Sicherheitslücke in OTRS. Allerdings verwendet OTRS für den Betrieb verschiedene Perl-Module, und bei einem dieser Module wurde nun eine Sicherheitslücke entdeckt.

Das Modul heißt Proc::Daemon und wird in OTRS schon im Ordner OTRS_HOME/Kernel/cpan-lib/Proc mitgeliefert.

Beheben der Sicherheitslücke

Zum Beheben der Sicherheitslücke in OTRS gibt es mehrere Möglichkeiten.

Am einfachsten ist es, einfach meinen OTRS Patch 2015-02 herunterzuladen und die beiden Dateien in Eurem OTRS-Verzeichnis durch die aus dem Patch zu ersetzen.[/vc_column_text][vc_column_text]

Bei Problemen oder Fragen kontaktieren Sie uns bitte einfach. Gerne richten wir Ihnen Ihr System so ein, wie Sie es wünschen. Im Rahmen unserer Supportverträge beheben wir auch alle Sicherheitslücken.