2017-0974: OTRS: Zwei Schwachstellen ermöglichen das Erlangen von Administratorrechten und einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2017-06-07 15:26)

Neues Advisory

Version 2 (2017-06-12 11:23)

Debian stellt für die stabile Distribution Jessie ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle CVE-2017-9324 bereit.

Version 3 (2017-06-16 11:16)

Für openSUSE Leap 42.2 wird ein Sicherheitsupdate für OTRS auf die Version 3.3.17 zur Behebung der Schwachstellen veröffentlicht.

Betroffene Software

Middleware
Office
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstellen in OTRS ermöglicht einem entfernten, nicht authentisierten Angreifer mit Agent-Privilegien das Erlangen von Administratorrechten durch den Besuch einer bestimmten Webseite der Anwendung. Eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer ohne spezielle Berechtigungen die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs auf Benutzer der Anwendung.

Der Hersteller informiert über die Schwachstellen in allen Versionen der Versionszweige 3.3.x, 4.0.x und 5.5.x und stellt die Versionen 3.3.17, 4.0.24 und 5.0.20 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2017-9324

Schwachstelle in OTRS ermöglicht Erlangen von Administratorrechten

OSA-2017-02

Schwachstelle in OTRS ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.