DFN-CERT-2017-2198 OTRS: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen und die Ausführung beliebigen Programmcodes [Linux][Apple][Windows]

DFN-CERT-2017-2198 OTRS: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen und die Ausführung beliebigen Programmcodes [Linux][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OTRS < 4.0.27 OTRS < 5.0.25 OTRS < 6.0.2 Betroffene Plattformen: Apple macOS GNU/Linux Microsoft Windows Ein entfernter, einfach authentifizierter Angreifer mit Agenten-Benutzerkonto in OTRS kann eine Schwachstelle ausnutzen, um beliebige Kommandozeilenbefehle mit erweiterten Privilegien auf dem unterliegenden Betriebssystem zur Ausführung zu bringen. Ein Angreifer mit Kundenkonto kann eine weitere Schwachstelle ausnutzen, um interne Informationen über seinem Konto zugeordnete Kundentickets auszuspähen. Der Hersteller stellt OTRS 6.0.2, 5.0.25 und 4.0.27 als Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Die Schwachstellen betreffen alle aktuellen Versionszweige von OTRS bis inklusive der Versionen 6.0.1, 5.0.24 und 4.0.26. Die Schwachstelle CVE-2017-16854 betrifft darüber hinaus OTRS 3.3.x bis inklusive Version 3.3.20. Hierfür werden keine Sicherheitsupdates zur Verfügung gestellt. Patch: OTRS Security Advisory 2017-08 https://www.otrs.com/security-advisory-2017-08-security-update-otrs-framework/

Patch:

OTRS Security Advisory 2017-09

https://www.otrs.com/security-advisory-2017-09-security-update-otrs-framework/

CVE-2017-16921: Schwachstelle in OTRS ermöglicht Ausführung beliebigen
Programmcodes

Ein entfernter, einfach durch OTRS als Agent authentifizierter Angreifer
kann eine Schwachstelle im Zusammenhang mit der Verarbeitung von
Formulardaten ausnutzen, um beliebige Kommandozeilenbefehle mit den Rechten
von OTRS oder den Rechten des Webserver-Benutzers zur Ausführung zu bringen.
Diese Rechte gehen üblicherweise über diejenigen normaler
Systembenutzerkonten hinaus.

CVE-2017-16854: Schwachstelle in OTRS ermöglicht Ausspähen von Informationen

Ein entfernter, einfach durch OTRS als Kunde authentifizierter Angreifer
kann über die Ticketsuche eine Schwachstelle ausnutzen, um interne
Zusatzinformationen über seine eigenen Kundentickets in Erfahrung zu
bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2198/

OTRS Security Advisory 2017-08:
https://www.otrs.com/security-advisory-2017-08-security-update-otrs-framework/

OTRS Security Advisory 2017-09:
https://www.otrs.com/security-advisory-2017-09-security-update-otrs-framework/

Schwachstelle CVE-2017-16854 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16854

Schwachstelle CVE-2017-16921 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-16921

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben