[Grit Rother]

Betrifft die bei heise online gemeldete Sicherheitslücke in OTRS auch OTOBO Systeme?

Ticketsystem OTRS: Angreifer können unverschlüsselte Passwörter einsehen | heise online

Dieser Tage erreichen uns immer wieder Anfragen, ob die bei heise online gemeldete Sicherheitslücke im Ticketsystem OTRS auch OTOBO betrifft.

Zentrale Info vorab: -> Im Standard nicht.

Im Detail: In dem Artikel geht es um insgesamt 3 CVEs.

CVE-2024-4344 “hoch”
Dieser CVE bezieht sich darauf, dass in gewissen Fällen – welche standardgemäß auf OTOBO nicht zutreffen (OTOBO speichert im Standard keine Passwörter im Klartext in der eigenen Datenbank) – Passwörter von Benutzern ausgelesen werden können.

Damit in OTOBO Passwörter unverschlüsselt angezeigt werden, müssen 2 Voraussetzungen erfüllt sein:

• Es muss ein Backend geben, das die Passwörter unverschlüsselt an OTOBO weitergibt, z.B. eine externe Kundendatenbank (im Grunde ein Sicherheitsrisiko des angebundenen Backends).
• Das Logging muss aktiv über eine Anpassung im Quellcode aktiviert werden.
  Das bedeutet, man braucht Zugang zum Code und muss sehr genau wissen, was man tut. Im Standard ist das Logging nicht aktiv. Ein versehentliches Aktivieren über eine Einstellung in der Admin-Oberfläche o. ä. ist ebenfalls ausgeschlossen.
  (Wer vermutet, im eigenen System könnte die Funktion aktiv sein, wende sich gerne an unseren Support, um hier Sicherheit zu bekommen.)

(Eine weitere Entschärfung ist geplant: https://github.com/RotherOSS/otobo/issues/3737)

CVE-2024-43442 “mittel” & CVE-2024-43443 “mittel”
Diese beiden CVEs beziehen sich auf Schwachstellen, die es einem bereits angemeldeten Admin ermöglichen, andere Admins anzugreifen.

Wir gehen davon aus, dass diese Sicherheitslücken in OTOBO behoben sind. Hier wurden bereits in früheren Patches Maßnahmen getroffen.

Dennoch prüft die Entwicklung derzeit noch einmal, ob sich ggf. neuer Handlungsbedarf in OTOBO ergibt. Sollte dies der Fall sein, informieren wir hier darüber.

 

[Autor]

Beiträge