Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OTRS

Betroffene Plattformen:

Apple Mac OS
FreeBSD
GNU/Linux
Microsoft Windows
Oracle Solaris

Ein entfernter, einfach authentifizierter Agent, als Angreifer, kann die
Schwachstelle im iPhoneHandle-Paket ausnutzen, um seine Privilegien zu
erweitern. Die Schwachstelle existiert in allen iPhoneHandle-Paketen auf
allen OTRS-Framework Versionen. Sicherheitsupdates werden in Form der
Versionen iPhoneHandle 4.0.2 (OTRS 4), iPhoneHandle 1.3.3 (OTRS 3.3) und
iPhoneHandle 1.2.2 (OTRS 3.2) zur Verfügung gestellt, ältere Versionen
werden nicht mehr unterstützt. Für ältere OTRS-Versionen sollte das
iPhoneHandle-Paket deaktiviert werden oder ein Upgrade auf eine neuere
OTRS-Version erfolgen.

Patch:

OTRS Security Advisory OTRS-ADV-2015-01

https://www.otrs.com/security-advisory-2015-01-vulnerability-in-otrs-iphone-handle/

CVE-2015-6579: Schwachstelle im OTRS iPhoneHandle-Paket ermöglicht
Privilegieneskalation

Es existiert eine nicht näher beschriebene Schwachstelle im OTRS
iPhoneHandle-Paket, die es einem Agenten ermöglicht sich der Gruppe der
Administratoren hinzuzufügen. Darüber hinaus besteht die Gefahr der
Manipulation der Datenbank und des Verlustes von Daten aufgrund der
Schwachstelle.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1417/

Schwachstelle CVE-2015-6579 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6579

OTRS Security Advisory OTRS-ADV-2015-01:
https://www.otrs.com/security-advisory-2015-01-vulnerability-in-otrs-iphone-handle/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.