OTOBO Release Notes

OTOBO 10.0.16 – ein Security Patch

28. April 2022

Sicherheitsrelevant:

  • OTOBO Admins oder Angreifer mit OTOBO Admin-Rechten konnten spezielle OTOBO Features ausnutzen, um sich Berechtigungen auf dem Server zu erschleichen. Die jeweiligen Features sind künftig nur noch per Opt-in durch den System-Admin verfügbar.
    (Details zur Admin-Schwachstelle und dem Umgang damit unten)

Kritikalität: Hoch

  • Es wurde eine XSS Schwachstelle in der Oberfläche des Paketmanagers behoben (CVE-2022-0475).

Kritikalität: Mittel

Außerdem neu:

  • Update auf Elasticsearch Version 7.17.3
  • Anpassung der S/MIME-Funktionalität an neuere OpenSSL-Versionen
  • Aktualisierung der JavaScript Libraries
  • Zusammenfassung doppelter Slashes in aufgerufenen URLs (PSGI)
  • DashboardBackend###0000-ProductNotify entfernt
  • [Bugfix]  Korrekte Darstellung dynamischer Felder vom Typ Titel mit viel Text
  • [Bugfix]  Beheben eines Fehlers, durch den ein Enter in Texteingabefeldern (z. B. dem Betreff) die Antwort in CustomerTicketZoom abgebrochen wurde.
  • Aktualisierung der Standardtexte im CustomerDashboard.
  • Hervorheben fokussierter Buttons in der Kundenoberfläche (zusätzlich zum Hover).
  • [Bugfix]  Beheben eines Fehlers, durch den beim erneuten Abrufen von Datenbankfeldern eine Fehlermeldung angezeigt wurde.

Bitte aktualisieren Sie Ihr System schnellstmöglich.

Details zur Admin-Schwachstelle und dem  Umgang damit in OTOBO:

In OTRS6 und bisherigen OTOBO Versionen besteht keine durchgehende rigide Trennung zwischen OTOBO Amin-Rechten und Berechtigungen auf dem ausführenden Server. So gestatten einzelne Features explizit Zugriff auf den Server mit den Rechten des ausführenden Programms (z. B. apache2).

Auf den allermeisten Systeme wird dies kein ernsthaftes Problem darstellen, da die OTOBO Admins häufig ohnehin Zugriff auf den Server haben. Es mag aber durchaus Systeme geben, in denen OTOBO Admins diese Berechtigungen nicht zur Verfügung stehen sollen.

Grundsätzlich ist eine Trennung schon deshalb sinnvoll, um zu vermeiden, dass ein Angreifer, der sich OTOBO Admin-Rechte verschafft hat, weitere Angriffspunkte auf dem Server findet.

Wir haben uns daher entschieden, die spezifischen Funktionalitäten als Security Issue zu behandeln und künftig nur noch nach einem expliziten „Opt-in“ des System Administrators in der Config.pm zur Verfügung zu stellen.

Zu diesem Zweck müssen ab OTOBO 10.0.16 / 10.1.3 folgende Optionen aus der Kernel/Config/Defaults.pm in die Kernel/Config.pm kopiert und dort aktiviert werden:

  • Ticket::GenericAgentAllowCustomScriptExecution
  • DashboardBackend::AllowCmdOutput

Hinweise zu geänderten SysConfig-Optionen

Mit dem vorliegenden Patch wurden diverse Javascript-Bibliotheken geupdated.
Diese sind in den SysConfig-Optionen „Loader::Agent::CommonJS###000-Framework“ und „Loader::Customer::CommonJS###000-Framework“ gesetzt.

Falls dieses Optionen über die SysConfig manuell angepasst wurden (wovon wir abraten), ist eine automatische Aktualisierung nicht möglich.

Bitte notieren Sie sich in diesem Fall die getätigten Anpassungen, setzen Sie die Einstellung zurück, führen Sie das Update durch, und passen Sie die Option – sofern nötig – im Anschluss händisch erneut an.