OTOBO Release Notes

OTOBO 10.1.3 – ein Security Patch

28. April 2022

Sicherheitsrelevant:

  • OTOBO Admins oder Angreifer mit OTOBO Admin-Rechten konnten spezielle OTOBO Features ausnutzen, um sich Berechtigungen auf dem Server zu erschleichen. Die jeweiligen Features sind künftig nur noch per Opt-in durch den System-Admin verfügbar.
    (Details zur Admin-Schwachstelle und dem Umgang damit unten)

Kritikalität: Hoch

  • Es wurde eine XSS Schwachstelle in der Oberfläche des Paketmanagers behoben (CVE-2022-0475).

Kritikalität: Mittel

Außerdem neu:

  • Update auf Elasticsearch Version 7.17.3
  • Anpassung der S/MIME-Funktionalität an neuere OpenSSL-Versionen
  • Aktualisierung der JavaScript Libraries
  • Ausbau der CustomerTicketCategories.
    Ergänzung von Type, Service und Status in TicketZoom und TicketList, Möglichkeit zur Pflege von Übersetzung in der Oberfläche, Textvorlagen und Links.
  • Unterstützung von CustomerIDRaw in GenericInterface TicketSearch

Bitte aktualisieren Sie Ihr System schnellstmöglich.

Details zur Admin-Schwachstelle und dem  Umgang damit in OTOBO:

In OTRS6 und bisherigen OTOBO Versionen besteht keine durchgehende rigide Trennung zwischen OTOBO Amin-Rechten und Berechtigungen auf dem ausführenden Server. So gestatten einzelne Features explizit Zugriff auf den Server mit den Rechten des ausführenden Programms (z. B. apache2).

Auf den allermeisten Systeme wird dies kein ernsthaftes Problem darstellen, da die OTOBO Admins häufig ohnehin Zugriff auf den Server haben. Es mag aber durchaus Systeme geben, in denen OTOBO Admins diese Berechtigungen nicht zur Verfügung stehen sollen.

Grundsätzlich ist eine Trennung schon deshalb sinnvoll, um zu vermeiden, dass ein Angreifer, der sich OTOBO Admin-Rechte verschafft hat, weitere Angriffspunkte auf dem Server findet.

Wir haben uns daher entschieden, die spezifischen Funktionalitäten als Security Issue zu behandeln und künftig nur noch nach einem expliziten „Opt-in“ des System Administrators in der  Config.pm verfügbar zu machen.

Zu diesem Zweck müssen ab OTOBO 10.0.16 / 10.1.3 folgende Optionen aus der Kernel/Config/Defaults.pm in die Kernel/Config.pm kopiert und dort aktiviert werden:

  • Ticket::GenericAgentAllowCustomScriptExecution
  • DashboardBackend::AllowCmdOutput

Hinweise zu geänderten SysConfig-Optionen

JavaScript

Mit dem vorliegenden Patch wurden diverse Javascript-Bibliotheken geupdated.
Diese sind in den SysConfig-Optionen „Loader::Agent::CommonJS###000-Framework“ und „Loader::Customer::CommonJS###000-Framework“ gesetzt.

Falls dieses Optionen über die SysConfig manuell angepasst wurden (wovon wir abraten), ist eine automatische Aktualisierung nicht möglich.

Bitte notieren Sie sich in diesem Fall die getätigten Anpassungen, setzen Sie die Einstellung zurück, führen Sie das Update durch, und passen Sie die Option – sofern nötig – im Anschluss händisch erneut an.

CustomerTicketCategories

Mit der letzten Version 10.1.2 wurde die Möglichkeit eingeführt, State und Service in den CustomerTicketCategories zu definieren.

Diese wurden bisher hardgecoded übersetzt. Das haben wir geändert und allgemein konfigurierbar gemacht.

Wenn Sie eine der beiden Kategorien einsetzen und individuelle Übersetzungen benötigen, erweitern Sie bitte die entsprechende SysConfig-Option (z.B. “Ticket::Frontend::CustomerTicketCategories###State”) um das Attribut “Translate”->”1”.