Aktuelle Versionen:
OTOBO 10.0.19 & OTOBO 10.1.8
Hier finden Sie OTOBO-Installer-Pakete für die unterschiedlichen Linux-Distributionen sowie das fertige Docker-Image.
Seit Version 10.0.7 empfehlen wir die Installation via Docker.
Docker® Image
OTOBO 10
OTOBO 10.1
GitHub
Dokumentation
Release News
Informationen zum jeweils neuesten Release finden Sie in den Release Notes und im Forum.
Security Advisories
Security Advisory 2023-02
Behebung einer Schwachstelle, die – in Systemen mit aktivierten Webservices – eine Header Injection über diese Webservices ermöglichte.
Kritikalität: Mittel, 6.3
Patched in OTOBO 10.0.19
Security Advisory 2023-01
Behebung einer Schwachstelle, die es Angreifern mit dem Recht Kunden anzulegen ermöglichte, JS-Code einzuschleusen (CVE-2023-5421).
Kritikalität: Mittel
Patched in OTOBO 10.0.19 und 10.1.8
Security Advisory 2022-04
Behebung einer Schwachstelle, die es Angreifern ermöglichte über die Webservice-Operation „TicketSearch“ SQL Code einzuschleusen.
Kritikalität: Mittel, 5.6
Patched in OTOBO 10.0.17 und 10.1.6
Security Advisory 2022-03
Behebung weiterer Schwachstellen im Admin-Modul: Angreifer mit OTOBO Admin-Rechten konnten sich erweiterte Berechtigungen erschleichen.
Kritikalität: Mittel
Patched in OTOBO 10.1.5
Security Advisory 2022-02
Es wurde eine XSS-Schwachstelle in der Oberfläche des Paketmanagers behoben (CVE-2022-0475).
Kritikalität: Mittel
Patched in OTOBO 10.0.16 und 10.1.3
Security Advisory 2022-01
OTOBO Admins oder Angreifer mit OTOBO Admin-Rechten konnten OTOBO Features ausnutzen, um sich Berechtigungen auf dem Server zu erschleichen.
Kritikalität: Hoch
Patched in OTOBO 10.0.16 und 10.1.3
Informationen zum Log4J Zero Day Exploit
OTOBO ist grundsätzlich nicht vom Log4J Zero Day Exploit betroffen.
Details und Ausnahmen hier. In OTOBO 10.0.14 ist vorsichtshalber dennoch ein Update auf die aktualisierte Elasticsearch Version 7.16.1 enthalten.
Mit OTOBO 10.0.15 / OTOBO 10.1 kommt das Update auf Elasticsearch 7.16.2 und log4j 2.17.0.
Security Advisory 2021-13
JS Injection in Fehlermeldungen zu dynamischen Feldern. Nutzer mit OTOBO Admin-Berechtigungen – und nur diese – hatten die Möglichkeit, JS-Code in die Fehlermeldungen zu dynamischen Fehlern zu integrieren.
Kritikalität: Niedrig.
Patched in OTOBO 10.0.13.
Security Advisory 2021-12
Open Redirect in external URL jump.
Das Feature ExternalURLJump ermöglichte – wenn aktiv – eine unvalidierte Um- oder Weiterleitung auf eine andere, möglicherweise schädliche Website. Dies hätten Angreifer in Phishing-Attacken nutzen können, um Nutzer auf schädliche Seiten zu leiten.
Kritikalität: Mittel.
Patched in OTOBO 10.0.13.
Security Advisory 2021-11
Authentifizierte Kunden können über die Elasticsearch-Schnellsuche auch nach Aktivieren von DisableCustomerCompanyTickets auf Firmentickets zugreifen, wenn sie die gleiche CustomerID haben.
Kritikalität: Niedrig.
Patched in OTOBO 10.0.12.
Security Advisory 2021-10
Pakete aus dem Docker Base-Image sind veraltet und beinhalten bekannte Schwachstellen. Dieses Security Advisory betrifft nur Docker-Installationen.
Kritikalität: Mittel.
Patched in OTOBO 10.0.12.
Security Advisory 2021-09
Authentifizierte Agenten können sich Termine aus Kalendern anzeigen lassen, auf die sie keinen Zugriff haben (CVE-2021-36091).
Dank für den Hinweis an Centuran Consulting.
Kritikalität: Niedrig.
Patched in OTOBO 10.0.12.
Security Advisory 2021-08
Authentifizierte Agenten können sich Kunden-E-Mails zu Tickets anzeigen lassen, zu denen sie keinen Zugriff haben (CVE-2021-21443).
Dank für den Hinweis an Centuran Consulting.
Kritikalität: Niedrig.
Patched in OTOBO 10.0.12.
Security Advisory 2021-07
Generierte Supportbundles enthalten private S/MIME- und PGP-Schlüssel, wenn der Ordner, in dem sie hinterlegt sind, nicht aktiv verborgen wurde (CVE-2021-21440). Dank für den Hinweis an Julian Droste.
Kritikalität: Mittel (5.2).
Patched in OTOBO 10.0.12.
Security Advisory 2021-06
Es gab eine XSS-Schwachstelle im Time Accounting Modul.
Die Schwachstelle wurde von einem anonymen Entwickler gemeldet. (s. CVE-2021-21442)
Kritikalität: mittel.
Patched in OTOBO Time Accounting 10.0.2
Security Advisory 2021-05
Angreifer konnten durch JavaScriptInjection und einen manipulierten Link oder CSRF im Namen eines Kundenbenutzers Tickets erstellen, über den manipulierten Nutzer interagieren sowie dessen Einstellungen – mit Ausnahme des Passwortes – ändern, sobald dieser die manipulierte Adresse aufgerufen hatte.
Danke an hypnguyen1209 für die Information über die Schwachstelle.
Kritikalität: niedrig.
Patched in OTOBO 10.0.11.
Security Advisory 2021-04
Angreifer konnten via XSS durch den Versand einer manipulierten E-Mail ins System über die Ticketübersicht Daten abgreifen. Danke an Znuny für die Bereitstellung von Information und Fix (ZSA-2021-06; Kritikalität: hoch).
Eine Schwachstelle in JQuery Validate ermöglichte es Angreifern RoDoS-Angriffe (CVE-2021-21252; Kritikalität: niedrig).
Kritikalität: Hoch
Patched in OTOBO 10.0.10.
Security Advisory 2021-03
In psgi-basierten Docker-Installationen konnten OTOBO-Admins auf sensible Daten zugreifen. Diese Sicherheitslücke betrifft NUR Systeme, in denen bei der Installation ausdrücklich PSGI ausgewählt wurde. Gemäß Dokumentation ausgeführte Standardinstallationen sind NICHT betroffen.
Patched in OTOBO 10.0.9.
Security Advisory 2021-02
Survey Modul: Administratoren können Umfragen so gestalten, dass im Agentenbereich Schadcode ausgeführt wird (durch einen anderen Agenten, der Änderungen an der Umfrage vornehmen möchte). Read more
Risk Level: 3.5 LOW.
Patched in OTOBO Survey Module 10.0.3.
Security Advisory 2021-01
Several vulnerabilities in CKEditor. Read more
Kritikalität: 5.5 MEDIUM.
Patched in OTOBO 10.0.8
Security Advisory 2020-01
OTOBO uses jquery version 3.4.1, which is vulnerable to cross-site scripting (XSS). Read more.
Risk Level: 6.3 / 6.5 MEDIUM.
Patched in OTOBO 10.0.5.
Zusatzfunktionen und Pakete finden Sie unter https://ftp.otobo.org/ und in OTOBO in der Paketverwaltung.
Wir freuen uns über Beiträge zu OTOBO!
Für Unterstützung, Feedback, Austausch gibt es das OTOBO Forum.
Bleiben Sie auf dem Laufenden
Maximal 1x pro Monat versenden wir die OTOBO News mit Informationen zu aktuellen Entwicklungen.
Fragen?
Wir freuen uns, von Ihnen zu hören.

Rother OSS
Business Services von den Machern von OTOBO
Von Mensch zu Mensch.
Und mit freundlichem Gesicht.
Kontakt
T +49 9427 – 68 39 000
hallo@otobo.de