-----------------------------------------------------------------------
 OTRS Security Advisory 2008-01                      <security@otrs.org>
-----------------------------------------------------------------------
 ID:              OSA-2008-01
 Datum:           2008-03-31
 Titel:           Schwachstellen in der OTRS SOAP Schnittstelle erlaubt
                  remote Zugriff ohne gueltigen SOAP Benutzer
 Einstufung:      Kritisch
 Produkt:         OTRS 2.1.x, OTRS 2.2.x,
 Behoben in:      OTRS 2.1.8, OTRS 2.2.6
 Nicht Betroffen: OTRS 1.x, OTRS 2.0.x
 URL:             http://otrs.org/advisory/OSA-2008-01-de/
 CVE:             CVE-2008-1515
----------------------------------------------------------------------

Dieses Advisory adressiert eine Sicherheitsluecke in der OTRS SOAP
Schnittstelle.

Die SOAP Autentifizierung erlaubt remote Zugriff ohne gueltigen SOAP
Benutzer.

  Fehlende Sicherheitspruefung erlaut remote SOAP Verbindungen den
  Zugriff auf OTRS ohne gueltigen SOAP Benutzer.

  Diese Schwachstelle erlaubt einen remote Angreifer das lesen und
  modifizieren von Objekten ueber die OTRS SOAP Schnittstelle.


Die genannten Schwachstellen sind in allen Versionen der Reihe 2.1.0 bis
einschliesslich OTRS 2.2.5 enthalten. In der Versionen 2.1.8 und 2.2.6 wurde
die Sicherheitsluecke geschlossen. Bitte installieren Sie umgehend eine
nicht verwundbare Programmversion.

Aktuelle Versionen stehen unter folgender URL zum herunterladen bereit:

 o ftp://ftp.otrs.org/

Als Workaround fuer die Schwachstelle kann die Datei
bin/cgi-bin/rpc.pl entfernt oder eine aktualisierte
Version aus dem CVS in der Version 1.6 eingespielt werden
(http://cvs.otrs.org/viewvc.cgi/otrs/bin/cgi-bin/rpc.pl).

Senden Sie Hinweise zu Sicherheitsluecken in OTRS jederzeit an
<security@otrs.org>.

Copyright (c) OTRS AG, <http://otrs.org/>