-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ----------------------------------------------------------------------- OTRS Security Advisory 2005-01 ----------------------------------------------------------------------- ID: OSA-2005-01 Datum: 2005-11-22 Titel: Schwachstellen im OTRS-Core erlauben SQL-Injection und Cross-Site-Scripting Einstufung: Kritisch Produkte: OTRS 2.x, OTRS 1.x Behoben in: OTRS 2.0.4, OTRS 1.3.3 URL: http://otrs.org/advisory/OSA-2005-01-de/ ----------------------------------------------------------------------- Dieses Advisory adressiert drei Sicherheitsluecken im OTRS-Systemkern. SQL-Injection per UNION Fehlende Sicherheitsueberpruefungen fuer SQL-Statements ermoeglichen einem angemeldeten Benutzer die Manipulation von Abfragen. Per UNION lassen sich beliebige SELECT-Statements einschleusen, welche dann von der Datenbank verarbeitet werden. Ein Angreifer kann diese Schwachstelle gezielt ausnutzen, um das Ergebnis einer Anfrage so zu manipulieren, dass eine Benutzeranmeldung trotz ungueltiger Anmeldedaten erfolgreich ist. Er kann so unbefugt Zugang zum OTRS erhalten. Anfaellig fuer derartige Angriffe sind Installationen, welche einen Benutzer gegen eine SQL-Datenbank authentisieren. Bereits angemeldete Benutzer koennen die Schwachstelle ausnutzen, um beliebige Daten aus den OTRS-Tabellen der Datenbank auszuspaehen. Derartige Angriffe koennten als Vorbereitung fuer weitere Attacken dienen, wie zum Beispiel das Uebernehmen fremder Sessions. Automatisches Oeffnen von Dateien im Browser OTRS versucht in der Standard-Konfiguration Mail-Attachments im aktuell geoeffneten Browser-Fenster zu laden. Klickt ein Benutzer mit der Maus auf einen Mail-Anhang, so versucht der Browser in der Regel, die entsprechende Datei automatisch im aktuellen Fenster zu oeffnen. Ein angemeldeter Benutzer kann diese Schwachstelle gezielt ausnutzen, indem er einen Benutzer dazu bringt, einen speziell konstruierten Anhang anzuklicken. Er kann so zum Beispiel beliebigen Skriptcode einschleusen, welcher automatisch geladen und ausgefuehrt wird. Eingabefelder ermoeglichen Einschleusen von Skriptcode Fehlendes HTML-Quoting erlaubt einem angemeldeten Benutzer das Einschleusen beliebiger Tags in die Darstellung der OTRS-Seiten. Ein angemeldeter Benutzer kann diese Schwachstelle ausnutzen, um beliebigen Code in die HTML-Seiten von OTRS einzubringen. Handelt es sich dabei um Skriptcode, so wird dieser unter Umstaenden automatisch im Browser anderer Benutzer ausgefuehrt. Die genannten Schwachstellen sind in allen Versionen der Reihe 2.x bis einschliesslich OTRS 2.0.3 sowie in allen Versionen der Reihe 1.x bis einschliesslich 1.3.2 enthalten. In den Versionen 2.0.4 und 1.3.3 wurden die Sicherheitsluecken geschlossen. Bitte installieren Sie umgehend eine nicht verwundbare Programmversion. Aktuelle Versionen stehen unter folgender URL zum herunterladen bereit: o ftp://ftp.otrs.org/ Als Workaround fuer die zweite Schwachstelle "Automatisches Oeffnen von Dateien im Browser" kann die kritische Standard-Einstellung in betroffenen Installationen deaktiviert werden, indem folgende Einstellung vorgenommen wird: "AttachmentDownloadType = attachment" Senden Sie Hinweise zu Sicherheitsluecken in OTRS jederzeit an . Wir danken Moritz Naumann (Naumann IT Consulting & Services) fuer den Hinweis auf die Schwachstellen zu diesem Advisory. Copyright (c) OTRS GmbH, http://otrs.org/ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (GNU/Linux) iD8DBQFDhBkHuBqJltZnEl4RArYMAJ0VAmrQ+Bp9ruzBEPBExD26VhgACQCeMTgq 4J69r9Vxf+U3GrTjDu88JUA= =BpdY -----END PGP SIGNATURE-----