domingo, 2 de febrero de 2014

Boletines de seguridad para OTRS

Se han publicado los boletines OSA-2014-01 y OSA-2014-02 que afectan a las versiones OTRS 3.3.x, OTRS 3.2.x y OTRS 3.1.x. Los cuales solucionan vulnerabilidades con impacto bajo pero que afectan de forma remota.

OTRS es un proyecto de código abierto destinado a la gestión de tickets. Los tickets pueden llegar bien a través de teléfono o de correo electrónico, y son gestionados desde una interfaz web. Una de las grandes ventajas de esta plataforma, es que permite ser personalizada por medio de diferentes módulos.

Los fallos de seguridad son los siguientes:

CVE-2014-1694: Falta de token de seguridad en los módulos CustomerTicketMessage y CustomerTicketZoom que podría causar un ataque CSRF en la interfaz web de cliente.

CVE-2014-1471: Error de comprobación de parámetros en State::StateGetStatesByType() que podría causar una inyección SQL.

Se recomienda actualizar OTRS a una de las siguientes versiones: 3.3.4, 3.2.14 o 3.1.19

Más información:

Security Advisory 2014-01 – CSRF issue in customer web interface

Security Advisory 2014-02 – SQL injection issue


Fernando Castillo

No hay comentarios:

Publicar un comentario en la entrada