Kurzinfo CB-K17/0943 Update 2

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: OTRS: Zwei Schwachstellen ermöglichen das Erlangen von Administratorrechten und einen Cross-Site-Scripting-Angriff
Datum: 16.06.2017
Software: OTRS < 3.3.17, OTRS < 4.0.24, OTRS < 5.0.20
Plattform: Apple Mac OS X, macOS Sierra, Debian Linux 8.8 Jessie, GNU/Linux, Microsoft Windows , openSUSE Leap 42.2
Auswirkung: Erlangen von Administratorrechten
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2017-9324
Bezug: OTRS Security Advisory 2017-02: Security Update for all OTRS Versions
Revisions Historie
  • Version: 3

    Für openSUSE Leap 42.2 wird ein Sicherheitsupdate für OTRS auf die Version 3.3.17 zur Behebung der Schwachstellen veröffentlicht.

  • Version: 2

    Debian stellt für die stabile Distribution Jessie ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle CVE-2017-9324 bereit.

  • Version: 1

    Neues Advisory

Beschreibung

OTRS (Open Ticket Request System) ist ein Ticketsystem (Kommunikationsmanagementsystem). Die freie und quelloffene Software wird oft als Helpdesk-System eingesetzt.

Eine Schwachstellen in OTRS ermöglicht einem entfernten, nicht authentisierten Angreifer mit Agent-Privilegien das Erlangen von Administratorrechten durch den Besuch einer bestimmten Webseite der Anwendung. Eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer ohne spezielle Berechtigungen die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs auf Benutzer der Anwendung. Der Hersteller informiert über die Schwachstellen in allen Versionen der Versionszweige 3.3.x, 4.0.x und 5.5.x und stellt die Versionen 3.3.17, 4.0.24 und 5.0.20 als Sicherheitsupdates bereit.

  1. OTRS Security Advisory 2017-02: Security Update for all OTRS Versions

  2. OTRS Security Advisory 2017-03: Security Update for all OTRS Versions

  3. Schwachstelle CVE-2017-9324 (NVD)

  4. Debian Security Advisory DSA-3876-1

  5. openSUSE Security Update openSUSE-SU-2017:1571-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.