SECURITY ADVISORY
Einzuschleusen von SQL- und JS-Code
- VERÖFFENTLICHUNGSDATUM:
- RELEASE-TYP:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- REFERENZ:
- 20.12.2022
- Security Patch Release
- MEDIUM
- OTOBO 10.1
- https://nvd.nist.gov/vuln/detail/CVE-2022-4427
Beschreibung
Problem
- SQL Injection: Wir fixen eine Schwachstelle, die es Angreifern ermöglichte über die Webservice-Operation “TicketSearch” SQL-Code einzuschleusen.
- JS Injection: Außerdem wurde eine Schwachstelle behoben, die es Angreifern mit OTOBO Admin-Rechten ermöglichte JS Code einzuschleusen
Vielen Dank an Tim Püttmanns (maxence), der uns auf die Schwachstellen aufmerksam gemacht hat.
Mögliche Folgen
- Einschleusen von SQL-Code
- Einschleusen von JS-Code
Gegenmaßnahmen
Update auf OTOBO 10.1.6
Für den Fix der Schwachstelle steht ein Security Patch Update zur Verfügung. Bitte aktualisieren Sie Ihr System.
Bug Fixes
- [Enhancment] Skript zur Lösung von utf8 / utf8mb3 Problemen zur Lösung eines speziellen Migrationsproblems
- [Enhancment] Behebung von Problemen mit ConfigurationDeploySync in S3-Umgebungen
- [Enhancement] Behebung eines Bugs, der zu hoher CPU-Last durch die SystemConfigurationOutOfSyncCheck Benachrichtigung führte
- [Bugfix] Terminbenachrichtungen werden jetzt auch bei aktivierter Anzeige für den Kunde versandt
- [Bugfix] Korrektur der “Gedruckt von”-Informationen beim Drucken von Unternehmenstickets in der CustomerTicketOverview. Statt des Ticketbesitzers wird nun die Person angegeben, die den Druck ausgelöst hat.
- [Bugfix] Anpassung der verborgenen Filter in den Medium- und Vorschau-Ansichten in TicketOverview
- [Bugfix] Anpassung der Formatierungsoptionen für Bilder im CKEditor. In die Signatur eingebettete Grafiken können nun korrekt formatiert werden
- [Bugfix] Beheben eines seltenen Bugs, der zu Fehlern bei der Anzeige von AjaxAttachments führte.
- [Bugfix] Korrektur der Einstellungen in der migration.pl für Package::RepositoryRoot.
- [Bugfix] Behebung eines Fehlers in CustomerFrontend::Navigation###ExternalURLJump###1
- [Enhancment] Erstellung eines neuen Docker Files otobo.kerberos.web.docker
- [Bugfix] Behebung eines seltenen Fehlers, in dem Absender-E-Mail-Adressen nicht korrekt angezeigt wurden
- [Bugfix] HTTP Redirect für OTOBO_WEB_HTTPS_PORT gefixt
- [Bugfix] Generic Agent sendet nun durchgängig SendNoNotification für alle nachfolgenden Events. Benachrichtigungen wurden vereinzelt nicht versendet, wenn Events durch GenericAgents ausgelöst wurden.
- [Bugfix] base64-Decodierung von CLOB-Spalten bei der Migration von Oracle zu MariaDB
- [Bugfix] Beheben eines Bugs bei der Prüfung des Quell-DB-Namens bei der Oracle-Migration.
- Beheben des Perl 5.34 shmwrite Problems in OTOBO 10
Ihre Fragen klären wir gerne. Schreiben Sie uns.
Sie sind Supportkunde und benötigen Unterstützung für den Security Patch. Bitte kontaktieren Sie uns über Ihren Zugang im Supportportal.
Downloads
Unternehmen
OTOBO | Empower Service Excellence to Make People Smile.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org
