2020-0276: OTRS: Zwei Schwachstellen ermöglichen u. a. das Erlangen von Benutzerrechten

Historie:

Version 1 (2020-02-07 13:34)

Neues Advisory

Version 2 (2020-02-25 08:54)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle CVE-2019-11358 in 'otrs2' adressiert wird.

Betroffene Software

Middleware
Office
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in jquery betrifft auch OTRS und kann von einem entfernten, nicht authentisierten Angreifer ausgenutzt werden, um über Prototype Pollution Nachrichtenentwürfe als anderer Agent zu senden. Aufgrund einer weiteren Schwachstelle in OTRS 7.0.x selbst bis einschließlich Version 7.0.14 kann ein entfernter, einfach authentifizierter Angreifer eine andere Benutzersitzung übernehmen.

Der Hersteller informiert über die Schwachstellen und stellt zu deren Behebung die Versionen OTRS 7.0.15 und ((OTRS)) Community Edition 6.0.26 als Sicherheitsupdates bereit. Zur Behebung von CVE-2019-11358 steht zusätzlich ein Quellcode-Patch für die ((OTRS)) Community Edition 6 zur Verfügung. Diese ist von CVE-2020-1768 nicht betroffen.

Schwachstellen:

CVE-2019-11358

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-1768

Schwachstelle in OTRS ermöglicht Erlangen von Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.