Znuny Sicherheitswarnung ZSA-2012-01 für OTRS - XSS

[mikeeduard]

Problem

Es existiert eine öffentlich bekannte OTRS Sicherheitslücke.

Ein Angreifer kann eine beliebige E-Mail mit Java Script Inhalt an ein OTRS System schicken, dieser Java Script Code wird ohne Hinweis im Browser des Agenten ausgeführt.

Somit ist es z. B. möglich, die Session zu übernhemen, Informationen zu stehlen oder auch beliebige Änderungen an Daten vorzunehmen.

Von der Schwachstelle betroffen sind alle Versionen von OTRS 2.4.x bis und einschließlich 2.4.12, OTRS 3.0.x bis und einschließlich 3.0.14, und auch 3.1.x Versionen bis und einschließlich 3.1.8.

Fix
http://znuny.com/de/#!/advisory/ZSA-2012-01

Workaround
Als Workaround kann die Funktionalität "rich text" über das Admin-Interace (SysConfig), deaktiviert werden.


Details

ID: ZSA-2012-01
Datum: 2012-08-17
Title: Verschiedene XSS Angriffe möglich
Ernsthaftigkeit: kritisch
Produkt: OTRS 3.1.x, OTRS 3.0.x, OTRS 2.4.x
Behoben in: Nur mit der Installation der Znuny4OTRS-Erweiterung
URL: http://znuny.com/de/#!/advisory/ZSA-2012-01
CVE: 2012-2582

[jojo]

Hallo,

das ganze ist im CVS behoben. Hierzu müssen die Dateien AgentTicketZoom.dtl und CustomerTicketZoom.dtl aus dem CVS genutzt werden:

2.4
http://cvs.otrs.org/viewvc.cgi/otrs/Ker ... ev=rel-2_4
http://cvs.otrs.org/viewvc.cgi/otrs/Ker ... ev=rel-2_4

3.0
http://cvs.otrs.org/viewvc.cgi/otrs/Ker ... ev=rel-3_0
http://cvs.otrs.org/viewvc.cgi/otrs/Ker ... ev=rel-3_0

3.1
http://cvs.otrs.org/viewvc.cgi/otrs/Ker ... ev=rel-3_1
http://cvs.otrs.org/viewvc.cgi/otrs/Ker ... ev=rel-3_1

[mikeeduard]

JFI, die Erweiterung http://znuny.com/de/#!/advisory/ZSA-2012-01 kann auch mit ITSM und anderen. Bei den CVS-Files übschreibt man sich Funktionalität.