SECURITY ADVISORY
Unbeabsichtige Erlangung erweiterter Administrator-Berechtigungen
- VERÖFFENTLICHUNGSDATUM:
- RELEASE-TYP:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- KRITIKALITÄT
- BETROFFENE VERSIONEN:
- REFERENZ:
- 28.04.2022
- Security Patch Release
- HIGH
- OTOBO 10.1
- MEDIUM
- OTOBO 10.1
- https://nvd.nist.gov/vuln/detail/CVE-2022-0475
Beschreibung
Problem
OTOBO Administratoren oder Angreifer mit OTOBO Administrator-Rechten konnten spezielle OTOBO Features ausnutzen, um sich Berechtigungen auf dem Server zu erschleichen. Die jeweiligen Features sind künftig nur noch per Opt-in durch den System-Administrator verfügbar.
Kritikalität: HIGH
Es wurde eine XSS Schwachstelle in der Oberfläche des Paketmanagers behoben (CVE-2022-0475).
Kritikalität: MEDIUM
Mögliche Folgen
- Umgehen von Berechtigungseinschränkungen.
Gegenmaßnahmen
Update auf OTOBO 10.1.3
Für den Fix der Schwachstelle steht ein Security Patch Update zur Verfügung. Bitte aktualisieren Sie Ihr System.
Bug Fixes & Erweiterungen
- Update auf Elasticsearch Version 7.17.3
- Anpassung der S/MIME-Funktionalität an neuere OpenSSL-Versionen
- Aktualisierung der JavaScript Libraries
- Ausbau der CustomerTicketCategories.
Ergänzung von Type, Service und Status in TicketZoom und TicketList, Möglichkeit zur Pflege von Übersetzung in der Oberfläche, Textvorlagen und Links. - Unterstützung von CustomerIDRaw in GenericInterface TicketSearch
Details zur Admin-Schwachstelle und dem Umgang damit in OTOBO:
In OTRS6 und bisherigen OTOBO Versionen besteht keine durchgehende rigide Trennung zwischen OTOBO Administrator-Rechten und Berechtigungen auf dem ausführenden Server. So gestatten einzelne Features explizit Zugriff auf den Server mit den Rechten des ausführenden Programms (z. B. apache2).
Auf den allermeisten Systeme wird dies kein ernsthaftes Problem darstellen, da die OTOBO Administratoren häufig ohnehin Zugriff auf den Server haben. Es mag aber durchaus Systeme geben, in denen OTOBO Administratoren diese Berechtigungen nicht zur Verfügung stehen sollen.
Grundsätzlich ist eine Trennung schon deshalb sinnvoll, um zu vermeiden, dass ein Angreifer, der sich OTOBO Administrator-Rechte verschafft hat, weitere Angriffspunkte auf dem Server findet.
Wir haben uns daher entschieden, die spezifischen Funktionalitäten als Security Issue zu behandeln und künftig nur noch nach einem expliziten „Opt-in“ des System Administrators in der Config.pm verfügbar zu machen.
Zu diesem Zweck müssen ab OTOBO 10.0.16 / 10.1.3 folgende Optionen aus der Kernel/Config/Defaults.pm in die Kernel/Config.pm kopiert und dort aktiviert werden:
- Ticket::GenericAgentAllowCustomScriptExecution
- DashboardBackend::AllowCmdOutput
Hinweise zu geänderten SysConfig-Optionen
JavaScript
Mit dem vorliegenden Patch wurden diverse Javascript-Bibliotheken geupdated.
Diese sind in den SysConfig-Optionen “Loader::Agent::CommonJS###000-Framework” und “Loader::Customer::CommonJS###000-Framework” gesetzt.
Falls dieses Optionen über die SysConfig manuell angepasst wurden (wovon wir abraten), ist eine automatische Aktualisierung nicht möglich.
Bitte notieren Sie sich in diesem Fall die getätigten Anpassungen, setzen Sie die Einstellung zurück, führen Sie das Update durch, und passen Sie die Option – sofern nötig – im Anschluss händisch erneut an.
CustomerTicketCategories
Mit der letzten Version 10.1.2 wurde die Möglichkeit eingeführt, State und Service in den CustomerTicketCategories zu definieren.
Diese wurden bisher hardgecoded übersetzt. Das haben wir geändert und allgemein konfigurierbar gemacht.
Wenn Sie eine der beiden Kategorien einsetzen und individuelle Übersetzungen benötigen, erweitern Sie bitte die entsprechende SysConfig-Option (z.B. “Ticket::Frontend::CustomerTicketCategories###State”) um das Attribut “Translate”->”1”.
Ihre Fragen klären wir gerne. Schreiben Sie uns.
Sie sind Supportkunde und benötigen Unterstützung für den Security Patch. Bitte kontaktieren Sie uns über Ihren Zugang im Supportportal.
Downloads
Unternehmen
OTOBO | Empower Service Excellence to Make People Smile.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org
