SECURITY ADVISORY
- VERÖFFENTLICHUNGSDATUM:
- RELEASE-TYP:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- 21.08.2021
- Security Patch Release
- MEDIUM
- OTOBO 10.0
Beschreibung
Problem
- Dateien aus den in den SysConfig-Optionen SMIME::PrivatePath und SMIME::CertPath hinterlegten Verzeichnissen werden nicht mehr ins Supportbundle aufgenommen, wenn sie im OTOBO Verzeichnis liegen (CVE-2021-21440).
- Es wurden Schwachstellen behoben, die es authentifizierten Agenten erlaubten, E-Mail-Adressen von Ticketempfängern und Termine in Kalendern anzuzeigen, auf die sie keinen Zugriff hatten (CVE-2021-36091, CVE-2021-21443).
- Veraltete Pakete im Docker Base-Image wurden aktualisiert (Perl, Elasticsearch, MariaDB und Redis)
Nach Aktivieren von “DisableCustomerCompanyTickets” werden Tickets nicht mehr in der Elasticsearch Schnellsuche angezeigt
Kritikalität: MEDIUM
Gegenmaßnahmen
Update auf OTOBO 10.0.12
Für den Fix der Schwachstelle steht ein Security Patch Update zur Verfügung. Bitte aktualisieren Sie Ihr System.
Bug Fixes & Erweiterungen
- Ergänzt wurde die Möglichkeit, komplexe Einstellungen für die Elasticsearch-Suche vorzunehmen: Die Elasticsearch-Indexeinstellungen können nun via Kernel/Config.pm angepasst werden (siehe das Elasticsearch::IndexTemplate in Defaults.pm). Für komplexere Einstellungen verwenden Sie bitte ElasticSearch::IndexSettings### statt ArticleIndexCreationSettings.
- Docker Images um GNU Screen ergänzt
- Docker Image um Lets Encrypt Certbot erweitert
- Änderung der Standardeinstellungen für die Höchstanzahl pro Seite angezeigter dynamischer Felder
- Weitere Verbesserung des Migrationsskripts (Überprüfung auf ungültige NULL-Werte in der Quelldatenbank, Kürzung der Spalten bei Migrationen von PostgreSQL zu MariaDB, Lösung von Problemen mit dem DirectBlob Feature, Aufruf des ResetAutoIncrementFields)
- Neue Übersetzungen
- Verschiedene Bugfixes (Agenten-E-Mail kann jetzt mit dem Benutzernamen übereinstimmen; Statusauswahl im Kundenbereich springt nicht mehr, wenn ein ACL aktiv ist; Kundenbenutzer-Änderungen können verwendet werden, um ACLs auszulösen etc.)
Ihre Fragen klären wir gerne. Schreiben Sie uns.
Sie sind Supportkunde und benötigen Unterstützung für den Security Patch. Bitte kontaktieren Sie uns über Ihren Zugang im Supportportal.
Downloads
Unternehmen
OTOBO | Empower Service Excellence to Make People Smile.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org
