Sicherheitslücken OTRS

kerstin · 05.09.2024 08:37:43

Hallo,

Mal eine eher generelle Frage: sind Sicherheitslücken (z.B. https://otrs.com/release-notes/otrs-security-advisory-2024-12/ ) eigentlich auch für KIX relevant?

Danke und Gruß,
Kerstin

Torsten Thau · 05.09.2024 09:00:51

Hallo,

allgemein lässt sich das natürlich nicht beantworten.

Aber das beschriebene Verhalten, dass wenn man Logging (in seiner vollen Tiefe aktiviert) ist auch in KIX reproduzierbar und wird voraussichtlich in v34 angepasst. In diesem Szenario konkurrieren die Ziele von "Security" und "umfassendem Service" leider. Denn in der Tat ist das gewolltes Verhalten - bedingt in der Realität von Supportfällen.

Die codeseitige Entfernung der Möglichkeit des vollständigen Loggings wird wiederum wird die Bearbeitung so mancher Supportfälle erschweren, weil einigen Anwendern schwer beizubringen ist dass falsche Angaben gemacht werden ohne eindeutige Belege.

Bis v34 gilt als Maßnahme gegen das beschriebene Verhalten einfach das Logging nicht zu aktivieren.

Viele Grüße, Torsten

kerstin · 05.09.2024 09:26:38

Hallo Torsten,

Vielen Dank für die schnelle Antwort. Anwender, die ihre Passwörter im plaintext geloggt vorlegt bekommen müssen, damit sie einsehen, dass sie eine Fehler gemacht haben, sind mir suspekt - aber ich verstehe schon was Du meinst ;-)

Ich nehme an die anderen Lücken habt ihr dann auch im Blick (https://otrs.com/release-notes/otrs-security-advisory-2024-10/ und https://otrs.com/release-notes/otrs-security-advisory-2024-11/)? Oder greifen die in KIX gar nicht?

Danke und Gruß,
Kerstin

Beatrice Müller · 10.09.2024 15:35:05

Hi Kerstin,

ja, die beiden genannten Lücken wurden bereits von unserer Entwicklung geprüft. Dabei konnte kein Angriffsszenario nachgestellt werden.

Viele Grüße
Beatrice

Neuigkeiten:

Sicherheitslücken OTRS

kerstin

Torsten Thau

kerstin

Beatrice Müller