Hauptmenü

Sicherheitslücken OTRS

Begonnen von kerstin, 05.09.2024 08:37:43

⏪ vorheriges - nächstes ⏩

kerstin

Hallo,

Mal eine eher generelle Frage: sind Sicherheitslücken (z.B. https://otrs.com/release-notes/otrs-security-advisory-2024-12/ ) eigentlich auch für KIX relevant?

Danke und Gruß,
Kerstin

Torsten Thau

Hallo,

allgemein lässt sich das natürlich nicht beantworten. 

Aber das beschriebene Verhalten, dass wenn man Logging (in seiner vollen Tiefe aktiviert) ist auch in KIX reproduzierbar und wird voraussichtlich in v34 angepasst. In diesem Szenario konkurrieren die Ziele von "Security" und "umfassendem Service" leider. Denn in der Tat ist das gewolltes Verhalten - bedingt in der Realität von Supportfällen. 

Die codeseitige Entfernung der Möglichkeit des vollständigen Loggings wird wiederum wird die Bearbeitung so mancher Supportfälle erschweren, weil einigen Anwendern schwer beizubringen ist dass falsche Angaben gemacht werden ohne eindeutige Belege. 

Bis v34 gilt als Maßnahme gegen das beschriebene Verhalten einfach das Logging nicht zu aktivieren.

Viele Grüße, Torsten
 

kerstin

Hallo Torsten,

Vielen Dank für die schnelle Antwort. Anwender, die ihre Passwörter im plaintext geloggt vorlegt bekommen müssen, damit sie einsehen, dass sie eine Fehler gemacht haben, sind mir suspekt - aber ich verstehe schon was Du meinst ;-)

Ich nehme an die anderen Lücken habt ihr dann auch im Blick (https://otrs.com/release-notes/otrs-security-advisory-2024-10/ und https://otrs.com/release-notes/otrs-security-advisory-2024-11/)? Oder greifen die in KIX gar nicht?

Danke und Gruß,
Kerstin

Beatrice Müller

Hi Kerstin,

ja, die beiden genannten Lücken wurden bereits von unserer Entwicklung geprüft. Dabei konnte kein Angriffsszenario nachgestellt werden.

Viele Grüße
Beatrice