2017-2198: OTRS: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen und die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-12-05 15:21)

Neues Advisory

Version 2 (2017-12-18 10:48)

Debian stellt für Debian Jessie (oldstable) und Debian Stretch (stable) Backport-Sicherheitsupdates zur Behebung der beiden Schwachstellen in OTRS zur Verfügung.

Betroffene Software

Middleware
Office
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, einfach authentifizierter Angreifer mit Agenten-Benutzerkonto in OTRS kann eine Schwachstelle ausnutzen, um beliebige Kommandozeilenbefehle mit erweiterten Privilegien auf dem unterliegenden Betriebssystem zur Ausführung zu bringen. Ein Angreifer mit Kundenkonto kann eine weitere Schwachstelle ausnutzen, um interne Informationen über seinem Konto zugeordnete Kundentickets auszuspähen.

Der Hersteller stellt OTRS 6.0.2, 5.0.25 und 4.0.27 als Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Die Schwachstellen betreffen alle aktuellen Versionszweige von OTRS bis inklusive der Versionen 6.0.1, 5.0.24 und 4.0.26. Die Schwachstelle CVE-2017-16854 betrifft darüber hinaus OTRS 3.3.x bis inklusive Version 3.3.20. Hierfür werden keine Sicherheitsupdates zur Verfügung gestellt.

Schwachstellen:

CVE-2017-16854

Schwachstelle in OTRS ermöglicht Ausspähen von Informationen

CVE-2017-16921

Schwachstelle in OTRS ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.