2017-1658: OTRS: Eine Schwachstelle ermöglicht das Injizieren beliebigen Programmcodes

Historie:

Version 1 (2017-09-20 14:01)

Neues Advisory

Version 2 (2017-10-04 11:38)

openSUSE aktualisiert für die Distributionen openSUSE Leap 42.2 und Leap 42.3 OTRS auf die Version 3.3.18, um die Schwachstelle zu beheben.

Version 3 (2017-11-08 10:55)

Für die alte stabile Distribution Debian Jessie und die stabile Distribution Debian Stretch stehen Sicherheitsupdates zur Verfügung.

Betroffene Software

Middleware
Office
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in OTRS ermöglicht einem Agenten mit Schreibrechten für Statistiken, in der Rolle als ein entfernter, einfach authentisierter Angreifer, beliebigen Programmcode in ein System zu injizieren. Dadurch kann der Angreifer seine Privilegien eskalieren, Dateien löschen oder einen Denial-of-Service (DoS)-Angriff durchführen.

Der Hersteller informiert über die Schwachstelle in allen Versionen der Versionszweige 3.3.x, 4.0.x und 5.0.x und stellt die Versionen 3.3.18, 4.0.25 und 5.0.23 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2017-14635

Schwachstelle in OTRS ermöglicht u.a. Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.