OTOBO Release Notes

OTOBO 10.1.5 – ein Security Patch

18. August 2022

Sicherheitsrelevant:

Wie schon in OTOBO 10.1.3 fixen wir auch hier noch einmal Schwachstellen, die es Angreifern mit OTOBO Admin-Rechten ermöglichten, sich erweiterte Berechtigungen zu erschleichen.

  • In Systemen, in denen die ConfigLevel-Einstellungen zum Einsatz kamen, war es OTOBO Admins oder Angreifern mit OTOBO Admin-Rechten möglich, deren Einschränkungen zu umgehen.
  • OTOBO Admins oder Angreifer mit OTOBO Admin-Rechten konnten über das ACL-Modul Perl-Code ausführen.

Vielen Dank an Tim Püttmanns (maxence), der uns auf die Schwachstellen aufmerksam gemacht hat.

Kritikalität: Mittel

Außerdem neu: Bugfixes und kleinere Updates

  • Update der JavaScript Bibliotheken (bei manuellen Anpassungen in der SysConfig: s. Hinweis unten)
  • Bugfix: Kalendereinträge waren bei deaktiviertem Session Cookie nicht sichtbar
  • Update des S/MIME Handlings für neuere OpenSSL Versionen (z. B. Ubuntu 22.04)
    Hinweis: Einige historische Algorithmen für Zertifikate wurden entfernt
  • Bugfix: ProcessWidgetDynamicFields haben in AgentTicketZoom die Einstellungen für dynamische Felder überschrieben
  • Update des S3 Supports
  • Bugfix: Korrektur von Zugriffsbeschränkungen für bestimmte Subactions im Kundenbereich
  • Bugfix: Korrektes Ausblenden einer einzelnen ausgewählten Queue via Autoselect
  • Übersetzung der im Footer angezeigten Links
  • Bugfix: Korrektur des Pfades für Systeme ohne eigenes Template in Kerberos
  • Bugfix: Tickets wurden bei FollowUp gesperrt, auch wenn root@localhost als Besitzer gesetzt ist
  • Bugfix: Fehler bei der OTOBO Rollensynchronisation zu LDAP-Gruppen behoben

Bitte aktualisieren Sie Ihr System.

Hinweise zu geänderten SysConfig-Optionen

JavaScript

Wie schon in OTOBO 10.1.3 wurden auch mit dem vorliegenden Patch noch einmal Javascript-Bibliotheken geupdated.
Diese sind in den SysConfig-Optionen “Loader::Agent::CommonJS###000-Framework” und “Loader::Customer::CommonJS###000-Framework” gesetzt.

Falls dieses Optionen über die SysConfig manuell angepasst wurden (wovon wir abraten), ist eine automatische Aktualisierung nicht möglich.

Bitte notieren Sie sich in diesem Fall die getätigten Anpassungen, setzen Sie die Einstellung zurück, führen Sie das Update durch, und passen Sie die Option – sofern nötig – im Anschluss händisch erneut an.