OTOBO Download

Aktuelle Version: OTOBO 10.0.12

Hier finden Sie OTOBO-Installer-Pakete für die unterschiedlichen Linux-Distributionen sowie das fertige Docker-Image.

Ab Version 10.0.7 empfehlen wir die Installation via Docker.

OTOBO 10

GitHub

Docker® Image

Dokumentation

Release News

Informationen zum jeweils neuesten Release finden Sie in den Release Notes und im Forum.

Security Advisories

Security Advisory 2021-10

Authentifizierte Kunden können über die Elasticsearch-Schnellsuche auch nach Aktivieren von DisableCustomerCompanyTickets auf Firmentickets zugreifen, wenn sie die gleiche CustomerID haben.

Kritikalität: Niedrig.
Patched in OTOBO 10.0.12.

Security Advisory 2021-09

Pakete aus dem Docker Base-Image sind veraltet und beinhalten bekannte Schwachstellen. Dieses Security Advisory betrifft nur Docker-Installationen.

Kritikalität: Mittel.
Patched in OTOBO 10.0.12.

Security Advisory 2021-08

Authentifizierte Agenten können sich Termine aus Kalendern anzeigen lassen, auf die sie keinen Zugriff haben (CVE-2021-36091).

Dank für den Hinweis an Centuran Consulting.

Kritikalität: Niedrig.
Patched in OTOBO 10.0.12.

Security Advisory 2021-07
Authentifizierte Agenten können sich Kunden-E-Mails zu Tickets anzeigen lassen, zu denen sie keinen Zugriff haben (CVE-2021-21443).

Dank für den Hinweis an Centuran Consulting.

Kritikalität: Niedrig.
Patched in OTOBO 10.0.12.

Security Advisory 2021-06
Generierte Supportbundles enthalten private S/MIME- und PGP-Schlüssel, wenn der Ordner, in dem sie hinterlegt sind, nicht aktiv verborgen wurde (CVE-2021-21440). Dank für den Hinweis an Julian Droste.

Kritikalität: Mittel (5.2).
Patched in OTOBO 10.0.12.

Security Advisory 2021-05
Angreifer konnten durch JavaScriptInjection und einen manipulierten Link oder CSRF im Namen eines Kundenbenutzers Tickets erstellen, über den manipulierten Nutzer interagieren sowie dessen Einstellungen – mit Ausnahme des Passwortes – ändern, sobald dieser die manipulierte Adresse aufgerufen hatte.
Danke an hypnguyen1209 für die Information über die Schwachstelle.
Kritikalität: niedrig.

Patched in OTOBO 10.0.11.

Security Advisory 2021-04
Angreifer konnten via XSS durch den Versand einer manipulierten E-Mail ins System über die Ticketübersicht Daten abgreifen. Danke an Znuny für die Bereitstellung von Information und Fix (ZSA-2021-06; Kritikalität: hoch).

Eine Schwachstelle in JQuery Validate ermöglichte es Angreifern RoDoS-Angriffe (CVE-2021-21252; Kritikalität: niedrig).

Patched in OTOBO 10.0.10.

Security Advisory 2021-03
In psgi-basierten Docker-Installationen konnten OTOBO-Admins auf sensible Daten zugreifen. Diese Sicherheitslücke betrifft NUR Systeme, in denen bei der Installation ausdrücklich PSGI ausgewählt wurde. Gemäß Dokumentation ausgeführte Standardinstallationen sind NICHT betroffen. 
Patched in OTOBO 10.0.9.

Security Advisory 2021-02
Survey Modul: Administratoren können Umfragen so gestalten, dass im Agentenbereich Schadcode ausgeführt wird (durch einen anderen Agenten, der Änderungen an der Umfrage vornehmen möchte). Risk Level: 3.5 LOW.
Patched in OTOBO Survey Module 10.0.3.

 

Security Advisory 2021-01
Several vulnerabilities in CKEditor. Risk Level: 5.5 MEDIUM.
Patched in OTOBO 10.0.8.

Security Advisory 2020-01
OTOBO uses jquery version 3.4.1, which is vulnerable to cross-site scripting (XSS). Risk Level: 6.3 / 6.5 MEDIUM.
Patched in OTOBO 10.0.5.

Zusatzfunktionen und Pakete finden Sie unter https://ftp.otobo.org/pub/otobo/packages/ und in OTOBO in der Paketverwaltung.

Wir freuen uns über Beiträge zu OTOBO!
Für Unterstützung, Feedback, Austausch gibt es das OTOBO Forum.