SECURITY ADVISORY
- VERÖFFENTLICHUNGSDATUM:
- RELEASE TYPE:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- 25. September 2025
- Security Patch Release
- MEDIUM
- OTOBO 10.1
Security Fix
- [Security | medium] Behebung einer möglichen Rechteausweitung über
backup.plWir haben eine potenzielle Sicherheitslücke geschlossen, die – nur auf Systemen, die so konfiguriert waren, dass backup.pl mit Root-Rechten von beliebigen Benutzern ausgeführt werden konnte (z. B. durch Anpassungen in der sudoers-Datei) – eine Befehlsinjektion ermöglichte, mit der Standardnutzer auf dem OTOBO-Server beliebige Kommandos mit Root-Rechten ausführen konnten.
Standardsysteme sind nicht betroffen.
Dank an Diego Berger Tellaroli für den Hinweis! [#4619]
- [Security | medium] Falsche Gruppenzuweisung bei LDAP-Sync mit Nested Group Search
Wir haben einen Fehler behoben, bei dem Benutzern zu viele Gruppen zugeordnet wurden, wenn LDAP-Sync mit aktivierter NestedGroupSearch-Option in derConfig.pmverwendet wurde.
Ursache war ein Bug, durch den verschachtelte Gruppen immer automatisch auch an Benutzer vererbt wurden, die bereits in der übergeordneten Gruppe waren.
Betroffen sind nur Installationen, die Agenten via LDAP authentifizieren, das LDAP-Sync-Modul nutzen und NestedGroupSearch aktiviert haben.
Standardsysteme ohne diese Konfiguration sind nicht betroffen.
Dank an unseren Partner FREICON für den Hinweis! [#4695]
Changes
- [Change] Docker: Aktualisierung des Perl-Basis-Images auf
5.38-bookworm. [#4512]
Bug Fixes
- [Bugfix] Systemkonfiguration: Fehler behoben, durch den das Speichern einer Einstellung als Favorit nicht funktionierte. [#4130]
-
[Bugfix] AgentTicketActionCommon: Ein Fehler wurde behoben, bei dem beim Speichern die aktuellen Parameter beim Typ-Update nicht berücksichtigt wurden. [#4359]
-
[Bugfix] Artikeltabelle: Wenn die Erstellung eines Artikels fehlschlägt, wird die Tabelle nun korrekt aufgeräumt. [#4596]
-
[Bugfix] OpenID Connect: Falsches Login-Formular sowie irreführende Fehlermeldungen nach einem Browser-Neustart wurden korrigiert. [#4393]
-
[Bugfix] DynamicField Webservice: Fehler bei der Verarbeitung von DynamicField-Webservices wurde behoben. [#3446]
Nächste Schritte
Update zu OTOBO 10.1.15
Wir empfehlen den Fix der Schwachstelle durchzuführen. Bitte aktualisieren Sie Ihr System.
OTOBO 10.1 Change Log
Hier finden Sie eine vollständige Übersicht über alle aktuellen und früheren Änderungen.
Security Patch? System Update?
Wir lassen Sie nicht allein.
Wenn Sie bereits mit uns zusammenarbeiten: Melden Sie sich einfach über unser Portal oder rufen Sie durch – wir kümmern uns.
Und wenn wir uns noch nicht kennen: Vielleicht ist jetzt der perfekte Zeitpunkt. Wir unterstützen Sie gern bei Ihrem nächsten Update. Einfach melden – wir freuen uns!
Unternehmen
OTOBO | Simplify work and create exceptional service experiences.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org
