SECURITY ADVISORY
Unbeabsichtige Erlangung erweiterter Administrator-Berechtigungen
- VERÖFFENTLICHUNGSDATUM:
- RELEASE-TYP:
- KRITIKALITÄT:
- BETROFFENE VERSIONEN:
- REFERENZ:
- 20.12.2022
- Security Patch Release
- MEDIUM
- OTOBO 10.0
- https://nvd.nist.gov/vuln/detail/CVE-2022-4427
Beschreibung
Problem
Wie schon in OTOBO 10.1.3 fixen wir auch hier noch einmal Schwachstellen, die es Angreifern mit OTOBO Administrator-Rechten ermöglichten, sich erweiterte Berechtigungen zu erschleichen.
- In Systemen, in denen die ConfigLevel-Einstellungen zum Einsatz kamen, war es OTOBO Administrator oder Angreifern mit OTOBO Administrator-Rechten möglich, deren Einschränkungen zu umgehen.
- OTOBO Administratoren oder Angreifer mit OTOBO Administrator-Rechten konnten über das ACL-Modul Perl-Code ausführen.
Vielen Dank an Tim Püttmanns (maxence), der uns auf die Schwachstellen aufmerksam gemacht hat.
Mögliche Folgen
- Unautorisierte Ausführung von Perl-Code.
- Umgehen von Berechtigungseinschränkungen.
Gegenmaßnahmen
Update auf OTOBO 10.1.5
Für den Fix der Schwachstelle steht ein Security Patch Update zur Verfügung. Bitte aktualisieren Sie Ihr System.
Bug Fixes
- Update der JavaScript Bibliotheken (bei manuellen Anpassungen in der SysConfig (siehe unten)
- Bugfix: Kalendereinträge waren bei deaktiviertem Session Cookie nicht sichtbar
- Update des S/MIME Handlings für neuere OpenSSL Versionen (z. B. Ubuntu 22.04)
Hinweis: Einige historische Algorithmen für Zertifikate wurden entfernt - Bugfix: ProcessWidgetDynamicFields haben in AgentTicketZoom die Einstellungen für dynamische Felder überschrieben
- Update des S3 Supports
- Bugfix: Korrektur von Zugriffsbeschränkungen für bestimmte Subactions im Kundenbereich
- Bugfix: Korrektes Ausblenden einer einzelnen ausgewählten Queue via Autoselect
- Übersetzung der im Footer angezeigten Links
- Bugfix: Korrektur des Pfades für Systeme ohne eigenes Template in Kerberos
- Bugfix: Tickets wurden bei FollowUp gesperrt, auch wenn root@localhost als Besitzer gesetzt ist
- Bugfix: Fehler bei der OTOBO Rollensynchronisation zu LDAP-Gruppen behoben
Hinweise zu geänderten SysConfig-Optionen
JavaScript
Wie schon in OTOBO 10.1.3 wurden auch mit dem vorliegenden Patch noch einmal Javascript-Bibliotheken geupdated.
Diese sind in den SysConfig-Optionen “Loader::Agent::CommonJS###000-Framework” und “Loader::Customer::CommonJS###000-Framework” gesetzt.
Falls dieses Optionen über die SysConfig manuell angepasst wurden (wovon wir abraten), ist eine automatische Aktualisierung nicht möglich.
Bitte notieren Sie sich in diesem Fall die getätigten Anpassungen, setzen Sie die Einstellung zurück, führen Sie das Update durch, und passen Sie die Option – sofern nötig – im Anschluss händisch erneut an.
Ihre Fragen klären wir gerne. Schreiben Sie uns.
Sie sind Supportkunde und benötigen Unterstützung für den Security Patch. Bitte kontaktieren Sie uns über Ihren Zugang im Supportportal.
Downloads
Unternehmen
OTOBO | Empower Service Excellence to Make People Smile.
Die Source Code Owner und Maintainer hinter OTOBO.
Software
OTOBO Demo
OTOBO Download
OTOBO Dokumentation
Security-Problem melden:
security@otobo.org
