-----------------------------------------------------------------------
OTRS Security Advisory 2007-01                      <security@otrs.org>
-----------------------------------------------------------------------
ID:              OSA-2007-01
Datum:           2007-05-24
Titel:           Schwachstellen in OTRS der Agenten Mailbox Ansicht durch
                 Cross-Site-Scripting
Einstufung:      Wenig Kritisch
Produkte:        OTRS 2.0.x
Behoben in:      OTRS 2.0.5
Nicht Betroffen: OTRS 2.1.x, OTRS 2.2.x
URL:             http://otrs.org/advisory/OSA-2007-01-de/
----------------------------------------------------------------------

Dieses Advisory adressiert eine Sicherheitsluecke in OTRS der Agenten
Mailbox Ansicht.


Eingabefelder ermoeglichen Einschleusen von Skriptcode

  Fehlendes HTML-Quoting in der OTRS Agenten Mailbox Ansicht erlaubt
  einem angemeldeten Benutzer das Einschleusen beliebiger Tags in die
  Darstellung der OTRS-Seiten.

  Ein angemeldeter Benutzer kann diese Schwachstelle ausnutzen, um
  beliebigen Code in die HTML-Seiten von OTRS einzubringen. Handelt es
  sich dabei um Skriptcode, so wird dieser unter Umstaenden automatisch
  im Browser anderer Benutzer ausgefuehrt.


Die genannten Schwachstellen sind in allen Versionen der Reihe 2.0.0 bis
einschliesslich OTRS 2.0.4 enthalten. In der Versionen 2.0.5 wurde
die Sicherheitsluecke geschlossen. Bitte installieren Sie umgehend eine
nicht verwundbare Programmversion.

Aktuelle Versionen stehen unter folgender URL zum herunterladen bereit:

 o ftp://ftp.otrs.org/

Als Workaround fuer die Schwachstelle kann die Datei
Kernel/Modules/AgentTicketMailbox.pm Version 1.4.2.3 aus dem CVS
aktuallisiert werden um das Problem zu lösen (http://cvs.otrs.org/).

Senden Sie Hinweise zu Sicherheitsluecken in OTRS jederzeit an
<security@otrs.org>.

Copyright (c) OTRS GmbH, <http://otrs.org/>