SECURITY ADVISORY
Unbeabsichtige Erlangung erweiterter Administrator-Berechtigungen
- VERÖFFENTLICHUNGSDATUM:
- RELEASE-TYP:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- KRITIKALITÄT
- BETROFFENE VERSIONEN:
- REFERENZ:
- 28.04.2022
- Security Patch Release
- HIGH
- OTOBO 10.0
- MEDIUM
- OTOBO 10.0
- https://nvd.nist.gov/vuln/detail/CVE-2022-0475
Beschreibung
Problem
OTOBO Administratoren oder Angreifer mit OTOBO Administrator-Rechten konnten spezielle OTOBO Features ausnutzen, um sich Berechtigungen auf dem Server zu erschleichen. Die jeweiligen Features sind künftig nur noch per Opt-in durch den System-Admininistrator verfügbar.
Kritikalität: HIGH
Es wurde eine XSS Schwachstelle in der Oberfläche des Paketmanagers behoben (CVE-2022-0475).
Kritikalität: MEDIUM
Mögliche Folgen
- Umgehen von Berechtigungseinschränkungen.
Gegenmaßnahmen
Update auf OTOBO 10.0.16
Für den Fix der Schwachstelle steht ein Security Patch Update zur Verfügung. Bitte aktualisieren Sie Ihr System.
Bug Fixes & Erweiterungen
- Update auf Elasticsearch Version 7.17.3
- Anpassung der S/MIME-Funktionalität an neuere OpenSSL-Versionen
- Aktualisierung der JavaScript Libraries
- Zusammenfassung doppelter Slashes in aufgerufenen URLs (PSGI)
- DashboardBackend###0000-ProductNotify entfernt
- [Bugfix] Korrekte Darstellung dynamischer Felder vom Typ Titel mit viel Text
- [Bugfix] Beheben eines Fehlers, durch den ein Enter in Texteingabefeldern (z. B. dem Betreff) die Antwort in CustomerTicketZoom abgebrochen wurde.
- Aktualisierung der Standardtexte im CustomerDashboard.
- Hervorheben fokussierter Buttons in der Kundenoberfläche (zusätzlich zum Hover).
- [Bugfix] Beheben eines Fehlers, durch den beim erneuten Abrufen von Datenbankfeldern eine Fehlermeldung angezeigt wurde.
Details zur Administrations-Schwachstelle und dem Umgang damit in OTOBO:
In OTRS6 und bisherigen OTOBO Versionen besteht keine durchgehende rigide Trennung zwischen OTOBO Administrator-Rechten und Berechtigungen auf dem ausführenden Server. So gestatten einzelne Features explizit Zugriff auf den Server mit den Rechten des ausführenden Programms (z. B. apache2).
Auf den allermeisten Systeme wird dies kein ernsthaftes Problem darstellen, da die OTOBO Administratoren häufig ohnehin Zugriff auf den Server haben. Es mag aber durchaus Systeme geben, in denen OTOBO Administratoren diese Berechtigungen nicht zur Verfügung stehen sollen.
Grundsätzlich ist eine Trennung schon deshalb sinnvoll, um zu vermeiden, dass ein Angreifer, der sich OTOBO Administrator-Rechte verschafft hat, weitere Angriffspunkte auf dem Server findet.
Wir haben uns daher entschieden, die spezifischen Funktionalitäten als Security Issue zu behandeln und künftig nur noch nach einem expliziten „Opt-in“ des System Administrators in der Config.pm zur Verfügung zu stellen.
Zu diesem Zweck müssen ab OTOBO 10.0.16 / 10.1.3 folgende Optionen aus der Kernel/Config/Defaults.pm in die Kernel/Config.pm kopiert und dort aktiviert werden:
- Ticket::GenericAgentAllowCustomScriptExecution
- DashboardBackend::AllowCmdOutput
Hinweise zu geänderten SysConfig-Optionen
JavaScript
Mit dem vorliegenden Patch wurden diverse Javascript-Bibliotheken geupdated.
Diese sind in den SysConfig-Optionen “Loader::Agent::CommonJS###000-Framework” und “Loader::Customer::CommonJS###000-Framework” gesetzt.
Falls dieses Optionen über die SysConfig manuell angepasst wurden (wovon wir abraten), ist eine automatische Aktualisierung nicht möglich.
Bitte notieren Sie sich in diesem Fall die getätigten Anpassungen, setzen Sie die Einstellung zurück, führen Sie das Update durch, und passen Sie die Option – sofern nötig – im Anschluss händisch erneut an.
Ihre Fragen klären wir gerne. Schreiben Sie uns.
Sie sind Supportkunde und benötigen Unterstützung für den Security Patch. Bitte kontaktieren Sie uns über Ihren Zugang im Supportportal.
Downloads
Unternehmen
OTOBO | Empower Service Excellence to Make People Smile.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
Service Management-Plattform
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org