DFN-CERT-2021-0265 OTRS: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

DFN-CERT-2021-0265 OTRS: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (08.02.21):
Neues Advisory

Mehrere Schwachstellen in CKEditor betreffen OTRS und können aus der Ferne
ausgenutzt werden, um einen Cross-Site-Scripting (XSS)-Angriff und
verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Eine weitere
Schwachstelle in OTRS ermöglicht einem Angreifer mit niedrigen Privilegien
aus der Ferne das Ausspähen von Informationen.

Der Hersteller veröffentlicht darüber hinaus Informationen zu Schwachstellen
in OTRSTicketForms und Survey, die einem Angreifer mit erweiterten
Privilegien das Ausspähen weiterer Informationen und einen zusätzlichen
Cross-Site-Scripting-Angriff ermöglichen. Eine Schwachstelle in
OTRSCIsInCustomerFrontend kann wiederum von einem Angreifer mit niedrigen
Privilegien ausgenutzt werden, um Privilegien zu eskalieren.

Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die
erfolgreiche Ausnutzung der Schwachstellen in CKEditor kann Einfluss auf
andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und empfiehlt zu deren
Behebung ein Update auf die Versionen 8.0.11 und 7.0.24. Für die
Schwachstellen in den spezifischen Komponenten und Modulen von OTRS stehen
unabhängige Sicherheitsupdates zur Verfügung.

OTRS hat kurz vor Weihnachten angekündigt, dass beginnend mit dem Jahr 2021
die Unterstützung für die Community-Version 6 des Ticketsystems eingestellt
wird und keine Sicherheitsupdates mehr bereitgestellt werden. Der Hersteller
weist zusätzlich darauf hin, dass OTRS 4 und 5 schwerwiegende
Sicherheitslücken haben, die auch Probleme mit der DSGVO-Konformität nach
sich ziehen können. Beide Versionen werden seit März 2020 nicht mehr mit
Sicherheitsupdates versorgt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-0265]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben