2018-2024: OTRS: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2018-10-05 17:13)

Neues Advisory

Version 2 (2018-10-15 11:52)

Für Debian Stretch 9.5 (stable) steht ein Sicherheitsupdate für das Paket 'otrs2' bereit.

Betroffene Software

Middleware
Office
Server

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle ermöglicht es einem entfernten, einfach authentisierten Angreifer mit Hilfe einer speziell präparierten URL seine Privilegien zu eskalieren und beliebige Benutzerrechte zu erlangen. Zudem kann ein entfernter, nicht authentisierter Angreifer zwei Schwachstellen über speziell präparierte HTML-Emails, die ein OTRS-Nutzer mit Administratorrechten öffnen muss, ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder Dateien zu löschen.

Für openSUSE Leap 15.0 und openSUSE Backports SLE 15 stehen Sicherheitsupdates für OTRS zur Verfügung, um diese Schwachstellen zu beheben. Die Software wird damit auf die Version 4.0.32 aktualisiert.

Schwachstellen:

CVE-2018-14593

Schwachstelle in OTRS ermöglicht Erlangen von Administratorrechten

CVE-2018-16586

Schwachstelle in OTRS ermöglicht Löschen beliebiger Dateien

CVE-2018-16587

Schwachstelle in OTRS ermöglicht Löschen beliebiger Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.