OTRS Updates schließen Sicherheitslücke
Vor einer Woche erst erschien das letzte Update für das Ticket System OTRS, welches vor allem einige Fehler behob und kleinere Verbesserungen mit sich brachte. Nun ist es aber schon wieder an der Zeit für ein neues Update. Mit den OTRS Versionen 6.0.10, 5.0.29 und 4.0.31 erschienen heute drei Updates, die die noch unterstützten Versionen patchen. Grund für die Updates war eine Sicherheitslücke, die im Systemkern des Ticketsystems entdeckt wurde.
Die Lücke wird mit 7,2 von 10 möglichen Punkten als eine schwerwiegende Bedrohung eingestuft. Ein Angreifer, der in OTRS als User eingeloggt ist, kann die Sicherheitslücke ausnutzen, um sich mithilfe einer bestimmten URL erhöhte Rechte zuzuweisen. Zudem statten die Patches die neuen Umgebungen mit einigen expliziten Infos für Robots aus. Auch ein Bug, bei dem User- und Kundenpräferenzen teilweise Userdaten überschrieben haben, wurde in allen Patches behoben.
Im vorhergehenden OTRS Update 6.0.9 gab es neue Übersetzungen und Verbesserungen für Datensammlungsplugins. Auch der Package Manager wurde an einigen Stellen verbessert. So können beispielsweise nicht verifizierte Pakete nun nicht mehr standardmäßig installiert werden. Im Bereich Bugs gab es unter anderem ein Problem mit der aktuellen Zeitzone, die im Systemlog nicht richtig angezeigt wurde. Zudem wurde beim Abbrechen einer Antwort auf ein Ticket nicht der Besitzer zurückgesetzt. Ferner gab es an einigen Stellen im System fehlende Übersetzungen und teilweise irreführende Beschreibungen. Eine komplette Übersicht aller Patches und deren Inhalte gibt es auf otrs.com.
Allein aufgrund der erhöhten Sicherheitsgefährdung, die von der gefundenen Lücke ausgeht, empfehlen wir jedem OTRS Administrator die eigene Umgebung zeitnah zu updaten. Wer sich eine eigene OTRS Umgebung zulegen möchte, der ist bei unserem OTRS Hosting bestens aufgehoben.
Tags:OTRS, OTRS Sicherheit, OTRS Sicherheitslücke, OTRS Versionen
