SECURITY ADVISORY
Einzuschleusen von SQL Code, JS-Code oder ACLS Code
- VERÖFFENTLICHUNGSDATUM:
- RELEASE-TYP:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- REFERENZ:
- 20.12.2022
- Security Patch Release
- MEDIUM
- OTOBO 10.0
- https://nvd.nist.gov/vuln/detail/CVE-2022-4427
Beschreibung
Problem
- SQL Injection: Wir fixen eine Schwachstelle, die es Angreifern ermöglichte über die Webservice-Operation “TicketSearch” SQL Code einzuschleusen.
- JS Injection: Behebung einer Schwachstelle, die es Angreifern mit OTOBO Admin-Rechten ermöglichte JS Code einzuschleusen
- Admin Interface: Eine Änderung am Code verhindert, dass Benutzer mit OTOBO Admin Rechten eine Schwachstelle nutzen können, um in den ACLS Code einzuschleusen
Vielen Dank an Tim Püttmanns (maxence), der uns auf die Schwachstellen aufmerksam gemacht hat.
Mögliche Folgen
- Direkte Ausführung des JS-Codes nach dem Speichern.
Gegenmaßnahmen
Update auf OTOBO 10.0.17
Für den Fix der Schwachstelle steht ein Security Patch Update zur Verfügung. Bitte aktualisieren Sie Ihr System.
Bug Fixes
- [Bugfix] Terminbenachrichtungen werden jetzt auch bei aktivierter Anzeige für den Kunde versandt
- [Bugfix] CLOB Spalten werden bei der Migration von Oracle zu MariaDB nun base64 decoded
- Behebung des Perl 5.34 shmwrite Problems in OTOBO 10.0.x
- [Tidied] Update der JavaScript Bibliotheken
Achtung: Bei manuellen Änderungen an Loader::Agent::CommonJS###000-Framework und Loader::Customer::CommonJS###000-Framework (siehe unten). - [Bugfix] Anpassung der S/MIME-Verschlüsselung an neuere OpenSSL-Versionen.
- [Bugfix] Behebung eines Bugs in der Synchronisierung von LDAP-Gruppen zu OTOBO-Rollen
Hinweise zu geänderten SysConfig-Optionen in OTOBO 10.0.17
JavaScript
Wie schon in OTOBO 10.1 wurden mit dem vorliegenden Patch nun auch in OTOBO 10.0 die Javascript-Bibliotheken geupdated. Diese sind in den SysConfig-Optionen “Loader::Agent::CommonJS###000-Framework” und “Loader::Customer::CommonJS###000-Framework” gesetzt.
Falls dieses Optionen über die SysConfig manuell angepasst wurden (wovon wir abraten), ist eine automatische Aktualisierung nicht möglich.
Bitte notieren Sie sich in diesem Fall die getätigten Anpassungen, setzen Sie die Einstellung zurück, führen Sie das Update durch, und passen Sie die Option – sofern nötig – im Anschluss händisch erneut an.
Ihre Fragen klären wir gerne. Schreiben Sie uns.
Sie sind Supportkunde und benötigen Unterstützung für den Security Patch. Bitte kontaktieren Sie uns über Ihren Zugang im Supportportal.
Downloads
Unternehmen
OTOBO | Empower Service Excellence to Make People Smile.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org
