OTRS Security Advisory 2010-01 - OTRS 2.4.7 released

English news about the ticket system and this board
Dont create your support topics here!
Forum rules
Dont create your support topics here!
Locked
jojo
Znuny guru
Posts: 15019
Joined: 26 Jan 2007, 14:50
Znuny Version: Git Master
Contact:
Contact jojo

OTRS Security Advisory 2010-01 - OTRS 2.4.7 released

Post by jojo »

--------------------------------------------------------------------------------
OTRS Security Advisory 2010-01 <security@otrs.org>
--------------------------------------------------------------------------------
ID: OSA-2010-01
Datum: 2010-02-08
Titel: Schwachstellen im OTRS-Core erlauben SQL-Injection
Einstufung: Kritisch
Produkt: OTRS 2.4.x, OTRS 2.3.x, OTRS 2.2.x, OTRS 2.1.x
Behoben in: OTRS 2.4.7, OTRS 2.3.5, OTRS 2.2.9, OTRS 2.1.9
URL: http://otrs.org/advisory/OSA-2010-01-de/
CVE: CVE-2010-0438
--------------------------------------------------------------------------------

Dieses Advisory adressiert eine Sicherheitsluecken im OTRS-Systemkern.

SQL-Injection

Fehlende Sicherheitsueberpruefungen fuer SQL-Statements ermoeglichen einem
angemeldeten Agenten oder Kunden die Manipulation von Abfragen. Per String-
Manipulation lassen sich beliebige SQL-Statements einschleusen, welche dann
von der Datenbank verarbeitet werden.

Ein Angreifer kann diese Schwachstelle gezielt ausnutzen, um das Ergebnis
einer Anfrage so zu manipulieren, dass er mehr Daten lesen und auch
veraendern kann. Somit kann sich der Angreifer auch Zugang zu weiteren
Rechten verschaffen (z. B. Admin-Rechte). Um diese Schwachstelle ausnuetzen
zu koennen muss der Angreifer eine gueltige Agenten- oder Kunden- Session
besitzen.

Die genannte Schwachstelle ist in allen Versionen der Reihe 2.1.0 bis
einschliesslich OTRS 2.4.6 enthalten. In der Versionen 2.1.9, 2.2.9, 2.3.5
und 2.4.7 wurde die Sicherheitsluecke geschlossen. Bitte installieren Sie
umgehend eine nicht verwundbare Programmversion.

Aktuelle Versionen stehen unter folgender URL zum herunterladen bereit:

o http://otrs.org/releases/

Als Workaround fuer die Schwachstelle kann die Datei
Kernel/System/Ticket.pm aktualisiert werden. Dazu koennen folgende Versionen
aus dem CVS eingespielt werden:

o OTRS 2.1.x: v1.233.2.3
o OTRS 2.2.x: v1.275.2.19
o OTRS 2.3.x: v1.346.2.9
o OTRS 2.4.x: v1.416.2.10

(http://source.otrs.org/viewvc.cgi/otrs/ ... m?view=log).

Senden Sie Hinweise zu Sicherheitsluecken in OTRS jederzeit an
security@otrs.org.

Wir danken CESICAT (http://www.cesicat.cat/) fuer den Hinweis auf die
Schwachstellen zu diesem Advisory.

Copyright (c) xxx, <http://otrs.org/>
"Production": OTRS™ 8, OTRS™ 7, STORM powered by OTRS
"Testing": ((OTRS Community Edition)) and git Master

Never change Defaults.pm! :: Blog
Professional Services:: http://www.otrs.com :: enjoy@otrs.com
Top
Locked

Return to “News”