SECURITY ADVISORY
- VERÖFFENTLICHUNGSDATUM:
- RELEASE-TYP:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- REFERENZ:
- KRITIKALITÄT:
- REFERENZ:
- 21.04.2021
- Security Patch Release
- HIGH
- OTOBO 10.0
- https://www.znuny.org/de/advisories/zsa-2021-06
- LOW
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21252
Beschreibung
Problem
- OTOBO 10.0.10 behebt eine kritische Schwachstelle, die es Angreifern durch XSS ermöglichte, mithilfe einer manipulierten E-Mail über die Ticketübersicht Daten abzugreifen. Danke an Znuny für die Bereitstellung von Information und Fix (ZSA-2021-06)
Kritikalität: HIGH
- JQuery-Validate-Update auf 1.19.3., behebt eine Schwachstelle, die ReDoS-Angriffe ermöglichte (CVE-2021-21252)
Kritikalität: LOW
Gegenmaßnahmen
Update auf OTOBO 10.0.10
Für den Fix der Schwachstelle steht ein Security Patch Update zur Verfügung. Bitte aktualisieren Sie Ihr System.
Bug Fixes & Erweiterungen
- Neue Sprache: Sinhala (Singhalesisch, Sri Lanka)
- Neu: Möglichkeit zur Definition individueller Einstellungen im Kundenbereich. Das Feature ist standardmäßig aktiv. Falls nicht gewünscht, deaktivieren Sie bitte die SysConfig-Einstellung CustomerFrontend::Module###CustomerPreferences
- Neu: Kerberos-SSO jetzt auch in Docker möglich
- Überarbeitung der Standardeinstellungen für Passwörter – Möglichkeit zur Passwortänderung durch User jetzt standardmäßig aktiv. Bitte prüfen Sie Ihre Passworteinstellungen in PreferencesGroups###Password und CustomerPreferencesGroups###Password
- Überarbeitung der Benachrichtigungsmodule zum CustomerUserTimeZone-Check im Kundenbereich – standardmäßig werden keine Benachrichtigungen mehr für Kundenbenutzer ohne gesetzte Zeitzonen angezeigt. Bitte aktivieren Sie CustomerFrontend::NotifyModule###7-CustomerUserTimeZone-Check, wenn Kundenbenutzer weiterhin dazu aufgefordert werden sollen, ihre Zeitzone zu definieren
- Weitere Bugfixes in der Migration, v. a. im Umgang mit PostgreSQL- und Oracle-Datenbanken
Elasticsearch – Möglichkeit zur vollständigen Migration von Kundenbenutzern in Elasticsearch, auch wenn ein LDAP-Backend die Menge simultan übertragender Daten einschränkt - Ticketstatus: In Systemen, in denen Kundenbenutzern die Möglichkeit eingeräumt wird, den Ticketstatus anzupassen, kann durch die neue Einstellung Ticket::Frontend::CustomerTicketZoom###StatePreset dennoch eine Standardvorauswahl definiert werden
Ihre Fragen klären wir gerne. Schreiben Sie uns.
Sie sind Supportkunde und benötigen Unterstützung für den Security Patch. Bitte kontaktieren Sie uns über Ihren Zugang im Supportportal.
Downloads
Unternehmen
OTOBO | Empower Service Excellence to Make People Smile.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org