OTOBO Release Notes

OTOBO 10.0.17 – ein Security Patch

20. Dezember 2022

Sicherheitsrelevant:

• SQL Injection: Wir fixen eine Schwachstelle, die es Angreifern ermöglichte über die Webservice-Operation „TicketSearch“ SQL Code einzuschleusen. CVE-2022-4427, Severity: 6.5. MEDIUM
• JS Injection: Behebung einer Schwachstelle, die es Angreifern mit OTOBO Admin-Rechten ermöglichte JS Code einzuschleusen
• Admin Interface: Eine Änderung am Code verhindert, dass Benutzer mit OTOBO Admin Rechten eine Schwachstelle nutzen können, um in den ACLS Code einzuschleusen

Vielen Dank an Tim Püttmanns (maxence), der uns auf die Schwachstellen aufmerksam gemacht hat.

Kritikalität: Mittel

Außerdem neu in OTOBO 10.0.17

• [Bugfix]   Terminbenachrichtungen werden jetzt auch bei aktivierter Anzeige für den Kunde versandt
• [Bugfix]   CLOB Spalten werden bei der Migration von Oracle zu MariaDB nun base64 decoded
• Behebung des Perl 5.34 shmwrite Problems in OTOBO 10.0.x
• [Tidied]   Update der JavaScript Bibliotheken
  Achtung: Bei manuellen Änderungen an Loader::Agent::CommonJS###000-Framework und Loader::Customer::CommonJS###000-Framework (s.u.).
• [Bugfix]   Anpassung der S/MIME-Verschlüsselung an neuere OpenSSL-Versionen.
• [Bugfix]   Behebung eines Bugs in der Synchronisierung von LDAP-Gruppen zu OTOBO-Rollen

Bitte aktualisieren Sie Ihr System.

Hinweise zu geänderten SysConfig-Optionen in OTOBO 10.0.17

JavaScript

Wie schon in OTOBO 10.1 wurden mit dem vorliegenden Patch nun auch in OTOBO 10.0 die Javascript-Bibliotheken geupdated.
Diese sind in den SysConfig-Optionen „Loader::Agent::CommonJS###000-Framework“ und „Loader::Customer::CommonJS###000-Framework“ gesetzt.

Falls dieses Optionen über die SysConfig manuell angepasst wurden (wovon wir abraten), ist eine automatische Aktualisierung nicht möglich.

Bitte notieren Sie sich in diesem Fall die getätigten Anpassungen, setzen Sie die Einstellung zurück, führen Sie das Update durch, und passen Sie die Option – sofern nötig – im Anschluss händisch erneut an.