-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-----------------------------------------------------------------------
OTRS Security Advisory 2005-01
-----------------------------------------------------------------------
ID: OSA-2005-01
Datum: 2005-11-22
Titel: Schwachstellen im OTRS-Core erlauben
SQL-Injection und Cross-Site-Scripting
Einstufung: Kritisch
Produkte: OTRS 2.x, OTRS 1.x
Behoben in: OTRS 2.0.4, OTRS 1.3.3
URL: http://otrs.org/advisory/OSA-2005-01-de/
-----------------------------------------------------------------------
Dieses Advisory adressiert drei Sicherheitsluecken im OTRS-Systemkern.
SQL-Injection per UNION
Fehlende Sicherheitsueberpruefungen fuer SQL-Statements ermoeglichen
einem angemeldeten Benutzer die Manipulation von Abfragen. Per UNION
lassen sich beliebige SELECT-Statements einschleusen, welche dann von
der Datenbank verarbeitet werden.
Ein Angreifer kann diese Schwachstelle gezielt ausnutzen, um das
Ergebnis einer Anfrage so zu manipulieren, dass eine Benutzeranmeldung
trotz ungueltiger Anmeldedaten erfolgreich ist. Er kann so unbefugt
Zugang zum OTRS erhalten. Anfaellig fuer derartige Angriffe sind
Installationen, welche einen Benutzer gegen eine SQL-Datenbank
authentisieren.
Bereits angemeldete Benutzer koennen die Schwachstelle ausnutzen, um
beliebige Daten aus den OTRS-Tabellen der Datenbank auszuspaehen.
Derartige Angriffe koennten als Vorbereitung fuer weitere Attacken
dienen, wie zum Beispiel das Uebernehmen fremder Sessions.
Automatisches Oeffnen von Dateien im Browser
OTRS versucht in der Standard-Konfiguration Mail-Attachments im
aktuell geoeffneten Browser-Fenster zu laden. Klickt ein Benutzer mit
der Maus auf einen Mail-Anhang, so versucht der Browser in der Regel,
die entsprechende Datei automatisch im aktuellen Fenster zu oeffnen.
Ein angemeldeter Benutzer kann diese Schwachstelle gezielt ausnutzen,
indem er einen Benutzer dazu bringt, einen speziell konstruierten
Anhang anzuklicken. Er kann so zum Beispiel beliebigen Skriptcode
einschleusen, welcher automatisch geladen und ausgefuehrt wird.
Eingabefelder ermoeglichen Einschleusen von Skriptcode
Fehlendes HTML-Quoting erlaubt einem angemeldeten Benutzer das
Einschleusen beliebiger Tags in die Darstellung der OTRS-Seiten.
Ein angemeldeter Benutzer kann diese Schwachstelle ausnutzen, um
beliebigen Code in die HTML-Seiten von OTRS einzubringen. Handelt es
sich dabei um Skriptcode, so wird dieser unter Umstaenden automatisch
im Browser anderer Benutzer ausgefuehrt.
Die genannten Schwachstellen sind in allen Versionen der Reihe 2.x bis
einschliesslich OTRS 2.0.3 sowie in allen Versionen der Reihe 1.x bis
einschliesslich 1.3.2 enthalten. In den Versionen 2.0.4 und 1.3.3 wurden
die Sicherheitsluecken geschlossen. Bitte installieren Sie umgehend eine
nicht verwundbare Programmversion.
Aktuelle Versionen stehen unter folgender URL zum herunterladen bereit:
o ftp://ftp.otrs.org/
Als Workaround fuer die zweite Schwachstelle "Automatisches Oeffnen von
Dateien im Browser" kann die kritische Standard-Einstellung in
betroffenen Installationen deaktiviert werden, indem folgende
Einstellung vorgenommen wird: "AttachmentDownloadType = attachment"
Senden Sie Hinweise zu Sicherheitsluecken in OTRS jederzeit an
. Wir danken Moritz Naumann (Naumann IT Consulting &
Services) fuer den Hinweis auf die Schwachstellen zu diesem Advisory.
Copyright (c) OTRS GmbH, http://otrs.org/
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
iD8DBQFDhBkHuBqJltZnEl4RArYMAJ0VAmrQ+Bp9ruzBEPBExD26VhgACQCeMTgq
4J69r9Vxf+U3GrTjDu88JUA=
=BpdY
-----END PGP SIGNATURE-----
