Beiträge

Sicherheits-Update für OTRS Framework

Mit dem Security Advisory 2018-09 wurde heute ein Sicherheits-Update für die OTRS Versionen 4 und 5 veröffentlicht.

 

Sicherheitslücke (Priorität: 7.2 High)

Die im OTRS Security Advisory 2018-09 als schwerwiegend eingestufte Sicherheitslücke (Severity: 7.2 High) ermöglicht es als OTRS Admin eingeloggten Angreifern, die URL so zu manipulieren, dass im OTRS-Kontext JavaScript ausgeführt werden könnte.

 

Betroffene Versionen

Betroffen sind OTRS-Installationen der Versionen OTRS 5.0.x und OTRS 4.0.x.

Wenn Sie  eine dieser Versionen in Betrieb haben, empfehlen wir ein Update auf das jeweils aktuellste OTRS Release (OTRS 5.0.31, OTRS 4.0.33).

 

Beheben der Sicherheitslücke

Die Sicherheitslücke kann durch ein Update auf das jeweils letzte OTRS Release behoben werden.

Bitte beachten Sie, dass zudem folgende SQL Clean-up Statements ausgeführt werden müssen, um möglicherweise kompromittierte Datensätze zu entfernen:

DELETE FROM user_preferences WHERE
    preferences_key = 'UserID' OR
    preferences_key = 'UserLogin' OR
    preferences_key = 'UserPw' OR
    preferences_key = 'UserFirstname' OR
    preferences_key = 'UserLastname' OR
    preferences_key = 'UserFullname' OR
    preferences_key = 'UserTitle' OR
    preferences_key = 'ChangeTime' OR
    preferences_key = 'CreateTime' OR
    preferences_key = 'ValidID' OR
    preferences_key LIKE 'UserIsGroup%';

DELETE FROM customer_preferences WHERE
    preferences_key = 'UserID' OR
    preferences_key = 'UserLogin' OR
    preferences_key = 'UserPassword' OR
    preferences_key = 'UserFirstname' OR
    preferences_key = 'UserLastname' OR
    preferences_key = 'UserFullname' OR
    preferences_key = 'UserStreet' OR
    preferences_key = 'UserCity' OR
    preferences_key = 'UserZip' OR
    preferences_key = 'UserCountry' OR
    preferences_key = 'UserComment' OR
    preferences_key = 'UserCustomerID' OR
    preferences_key = 'UserTitle' OR
    preferences_key = 'UserEmail' OR
    preferences_key = 'UserPhone' OR
    preferences_key = 'UserMobile' OR
    preferences_key = 'UserFax' OR
    preferences_key = 'UserMailString' OR
    preferences_key = 'ChangeTime' OR
    preferences_key = 'ChangeBy' OR
    preferences_key = 'CreateTime' OR
    preferences_key = 'CreateBy' OR
    preferences_key = 'ValidID' OR
    preferences_key LIKE 'UserIsGroup%';

 

Detaillierte Informationen zu den Neuerungen der aktuellen Releases finden Sie hier:

Die aktuellen OTRS Releases finden Sie im Downloadbereich.

 

Offizielles Advisory

Security Advisory 2018-09

 

Bei Problemen oder Fragen kontaktieren Sie uns bitte einfach. Gerne richten wir Ihnen Ihr System so ein, wie Sie es wünschen.
Im Rahmen unserer Supportverträge beheben wir auch alle Sicherheitslücken.

Mit dem OTRS Security Advisory 2018-07 wird ein Sicherheits-Update für die OTRS Versionen 4, 5 und 6 verfügbar.
Neben einer Beschreibung der Sicherheitslücke findet Ihr hier auch die jeweils aktuellsten OTRS Releases und Informationen zu den Neuerungen.

[vc_row][vc_column width=“3/4″ el_class=“vc_sidebar_position_right“ offset=“vc_col-lg-9 vc_col-md-9 vc_col-sm-12″][stm_post_info css=“.vc_custom_1437111129257{margin-bottom: 0px !important;}“][vc_column_text]In der OTRS Standardkonfiguration werden das Kunden- und das Agenten-Interface nur über eine FQDN aufgerufen. Sollen unterschiedliche Domains oder Sub-Domains verwendet werden, kann dies mit Hilfe von Apache Vhosts und „Redirects“ realisiert werden.

Die nachfolgende Beispielkonfiguration wurde unter Ubuntu und Apache2 getestet:[/vc_column_text][vc_custom_heading text=“Unordered & Ordered Lists“ font_container=“tag:h3|text_align:left“ google_fonts=“font_family:Montserrat%3Aregular%2C700|font_style:700%20bold%20regular%3A700%3Anormal“][vc_row_inner][vc_column_inner][vc_column_text]Apache Einstellungen

1.) Bitte mit dem Befehl
root@otrs:~# a2enmod rewrite

das Apache Modul mod_rewrite aktivieren. Sollte a2enmod nicht existieren, bitte folgenden Befehl verwenden:

root@otrs:~# ln -l /etc/apache2/mods-available/rewrite.load /etc/apache2/mods-enabled/rewrite.load

Sollte das Modul Mod_rewrite nicht existieren, dieses bitte über CPAN oder apt nachinstallieren und die obigen Schritte wiederholen. In der Regel ist das Modul allerdings installiert.

2.) Die Datei „/etc/apache2/sites-enabled/000-default“ deaktivieren:

root@otrs:~# a2disside 000-default

3.) Zwei neue VHost-Konfigurationsdateien in „/etc/apache2/sites-available/“ mit den Namen „otrs-agent“ und „otrs-customer“ anlegen.

4.) In die VHost-Konfigurationsdatei für das Agenten Interface „otrs-agent“ folgende Konfigurationsoptionen kopieren:

 

ServerName www.URLdesAgentenInterfaces.de

Serveralias URLdesAgentenInterfaces.de *.URLdesAgentenInterfaces.de 

DocumentRoot /opt/otrs/var/httpd/htdocs/

# An dieser Stelle die OTRS Konfiguration aus dem nächsten Punkt einfügen.

 

5.) Alle Inhalte aus der bisherigen OTRS-Konfigurationsdatei unter „/etc/apache2/conf.d/otrs.conf“ 
in die neue Konfigurationsdatei „otrs-agent“ zwischen „DocumentRoot“ und „“ kopieren. Bitte lediglich die Option „MaxRequestsPerChild“ auskommentieren, da diese an dieser Stelle nicht verwendet werden darf.

6.) Das Vorgehen aus Punkt 4.) und 5.) noch mal für die VHost Konfigurationsdatei des Kundeninterfaces „otrs-customer“ wiederholen. In „ServerName“ und „Serveralias“ muss die Kundendomain angegeben werden.

7.) Da wir die VHost Konfiguration erst im Ordner „/etc/apache2/sites-available/“ erstellt haben, müssen wir diese noch aktivieren. Dies geschieht, in dem wir einen Link der Dateien in das Verzeichnis „/etc/apache2/sites-enabled/“ setzen. Bitte hierzu folgende Befehle ausführen:

root@otrs:~# a2enside otrs-agent
root@otrs:~# a2enside otrs-customer

8.) Bitte die Datei „/etc/apache2/conf.d/otrs.conf“ löschen.

9.) Nach einem Neustart des Apachen durch den Befehl

root@otrs:~# service apache2 restart

sollten Kunden- und Agentinterface über die verschiedenen Domains erreicht werden können.

10.)Sollen die Kunden nicht den gesamten Pfad (z. B. servicedesk.kundendomain.de/otrs/customer.pl) im Browser angeben müssen, können wir nun noch einen Redirect in der Konfigurationsdatei „/etc/apache2/sites-available/otrs-customer“ hinzufügen (am besten nach dem letzten Setting):

RewriteEngine on
RewriteRule ^/$ https://kundendomain/otrs/customer.pl [R=301]
11.) Noch mal einen Apache Restart durchführen und viel Spaß!

[/vc_column_text][/vc_column_inner][/vc_row_inner][vc_column_text]

Bei Problemen oder Fragen kontaktieren Sie uns bitte einfach. Gerne richten wir Ihnen Ihr System so ein, wie Sie es wünschen. Im Rahmen unserer Supportverträge konfigurieren wir Ihnen gerne auch Ihren Webserver.

[/vc_column_text][vc_row_inner][vc_column_inner width=“1/2″][stm_post_tags][/vc_column_inner][vc_column_inner width=“1/2″][stm_share code=“JTNDc3BhbiUyMGNsYXNzJTNEJTI3c3RfZmFjZWJvb2tfbGFyZ2UlMjclMjBkaXNwbGF5VGV4dCUzRCUyNyUyNyUzRSUzQyUyRnNwYW4lM0UlMEElM0NzcGFuJTIwY2xhc3MlM0QlMjdzdF90d2l0dGVyX2xhcmdlJTI3JTIwZGlzcGxheVRleHQlM0QlMjclMjclM0UlM0MlMkZzcGFuJTNFJTBBJTNDc3BhbiUyMGNsYXNzJTNEJTI3c3RfZ29vZ2xlcGx1c19sYXJnZSUyNyUyMGRpc3BsYXlUZXh0JTNEJTI3JTI3JTNFJTNDJTJGc3BhbiUzRSUwQSUzQ3NwYW4lMjBjbGFzcyUzRCUyN3N0X3NoYXJldGhpc19sYXJnZSUyNyUyMGRpc3BsYXlUZXh0JTNEJTI3JTI3JTNFJTNDJTJGc3BhbiUzRQ==“][/vc_column_inner][/vc_row_inner][stm_post_author][stm_post_comments][/vc_column][vc_column width=“1/4″ offset=“vc_hidden-sm vc_hidden-xs“][vc_widget_sidebar sidebar_id=“default“ el_class=“sidebar-area-right sidebar-area“][/vc_column][/vc_row]