Debian DLA-3551-1：otrs2 - LTS 安全更新

critical Nessus 插件 ID 180524

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10 主机上安装的多个程序包受到 dla-3551 公告中提及的多个漏洞影响。

- 由于 Object.prototype 污染，版本低于 3.4.0 的 jQuery（用于 Drupal、Backdrop CMS 和其他产品）未正确处理 jQuery.extend (true, {}, ...)。如果未审查的源对象包含可枚举的
__proto__ property，则其可能扩展本机 Object.prototype。(CVE-2019-11358)

- 在 Open Ticket Request System (OTRS) 7.0.x 至 7.0.7、Community Edition 6.0.x 至 6.0.19 和 Community Edition 5.0.x 至 5.0.36 中发现一个问题。攻击者这可能会向 OTRS 系统发送恶意电子邮件。如果已登录的代理用户引用了该电子邮件，则可能会造成浏览器加载外部图像资源。(CVE-2019-12248)

- 在 Open Ticket Request System (OTRS) 7.0.x 至 7.0.8、Community Edition 6.0.x 至 6.0.19 和 Community Edition 5.0.x 至 5.0.36 中发现一个问题。在客户或外部前端中，外部注释可能会泄露代理的个人信息（如姓名和邮件地址）。(CVE-2019-12497)

- 在 Open Ticket Request System (OTRS) Community Edition 5.0.x 至 5.0.36 和 6.0.x 至 6.0.19 中发现一个问题。以代理身份登录 OTRS 的用户通过与第三方分享嵌入式票证文章的链接，可能会在不知情的情况下泄露会话 ID。随后此标识符可能会受到滥用，从而冒充代理用户。(CVE-2019-12746)

- 在 Open Ticket Request System (OTRS) 7.0.x 至 7.0.8 和 Community Edition 5.0.x 至 5.0.36 与 6.0.x 至 6.0.19 中发现一个问题。以拥有适当权限的代理用户身份登录 OTRS 通知的攻击者可能会利用模板中的 OTRS 标签，从而泄露已哈希的用户密码。(CVE-2019-13458)

- 在 Open Ticket Request System (OTRS) 7.0.x 至 7.0.11 和 Community Edition 5.0.x 至 5.0.37 与 6.0.x 至 6.0.22 中发现一个问题。以代理或客户用户身份登录且具有适当权限的攻击者可以创建精心构建的字符串，其中包含用作文章正文的恶意 JavaScript 代码。攻击者会在代理为原始文章撰写答案时执行此恶意代码。
(CVE-2019-16375)

- 在 Open Ticket Request System (OTRS) 7.0.x 至 7.0.12 和 Community Edition 5.0.x 至 5.0.38 与 6.0.x 至 6.0.23 中发现一个问题。以代理身份登录 OTRS 的攻击者能够列出分配给其他代理的工单，甚至可以列出位于此攻击者没有权限的队列中的工单。(CVE-2019-18179)

- 未正确检查 PostMaster（通过电子邮件发送）中或 ((OTRS)) Community Edition 和 OTRS 的上传文件（例如将文件附加到邮件）中具有过长扩展名的文件名，这使远程攻击者能够造成死循环。此问题影响以下版本：OTRS AG：((OTRS)) Community Edition 5.0.x 版 5.0.38 和之前的版本；6.0.x 版 6.0.23 和之前的版本。OTRS AG：OTRS 7.0.x 版 7.0.12 和之前的版本。(CVE-2019-18180)

- 在高于或等于 1.2 并在 3.5.0 之前的 jQuery 版本中，如果将 HTML 从不受信任的来源传递至 jQuery 的任一 DOM 操作方法（即 .html()、append() 和其他方法），即使经过审查，也可能执行不受信任的代码。此问题已在 jQuery 3.5.0 中得到修补。(CVE-2020-11022)

- 在高于或等于 1.0.3 版以及 3.5.0 版之前的 jQuery 中，如果将包含 <option> 元素的 HTML 从不受信任的来源传递至 jQuery 的任一 DOM 操作方法（即 .html()、append() 和其他方法），即使经过审查，也可能执行不受信任的代码。已在 jQuery 3.5.0 中修补此问题。
(CVE-2020-11023)

- 参数控制不当允许伪造以下屏幕的 from 字段：
AgentTicketCompose、AgentTicketForward、AgentTicketBounce 和 AgentTicketEmailOutbound。此问题影响以下版本：((OTRS)) Community Edition 5.0.x 版 5.0.39 和之前的版本；6.0.x 版 6.0.24 和之前的版本。OTRS 7.0.x 版 7.0.13 和之前的版本。(CVE-2020-1765)

- 由于未正确处理上传的图像，在极不可能发生的罕见情况下可能会强制代理浏览器从特别构建的 SVG 文件（渲染为内联 jpg 文件）执行恶意 JavaScript。此问题影响以下版本：((OTRS)) Community Edition 5.0.x 版 5.0.39 和之前的版本；6.0.x 版 6.0.24 和之前的版本。OTRS 7.0.x 版 7.0.13 和之前的版本。(CVE-2020-1766)

- 代理 A 能够保存草稿（例如用于客户回复）。然后，代理 B 可以打开此草稿，完全更改文本并将其以代理 A 的名义发送。但客户无法看到这则消息是由其他代理发送的。此问题影响以下版本：((OTRS)) Community Edition 6.0.x 版 6.0.24 和之前的版本。OTRS 7.0.x 版 7.0.13 和之前的版本。(CVE-2020-1767)

- 在登录屏幕中（在代理和客户界面中），用户名和密码字段使用的是自动填写，这可能会被视为安全问题。此问题影响以下版本：((OTRS)) Community Edition：5.0.41 和之前的版本、6.0.26 和之前的版本。OTRS：7.0.15 和之前的版本。(CVE-2020-1769)

- 支持捆绑生成的文件肯包含不希望被泄露的敏感信息。
此问题影响以下版本：((OTRS)) Community Edition：5.0.41 和之前的版本、6.0.26 和之前的版本。
OTRS：7.0.15 和之前的版本。(CVE-2020-1770)

- 攻击者可构建文章，其中包含指向带有恶意内容 (JavaScript) 的客户通讯簿的链接。当代理打开此链接时，系统会因缺少参数编码而执行 JavaScript 代码。此问题影响以下版本：((OTRS)) Community Edition：6.0.26 和之前的版本。OTRS：7.0.15 和之前的版本。(CVE-2020-1771)

- 可以在 Token 值中使用通配符构建丢失密码请求，这允许攻击者检索由已请求新密码的用户生成的有效 Token。此问题影响以下版本：
((OTRS)) Community Edition 5.0.41 和之前的版本、6.0.26 和之前的版本。OTRS：7.0.15 和之前的版本。(CVE-2020-1772)

- 能够通过进行身份验证或利用 OSA-2020-09 生成会话 ID 或密码重置标记的攻击者，或许能够预测其他用户的会话 ID、密码重置标记和自动生成的密码。此问题影响以下 ((OTRS)) Community Edition：5.0.41 和之前的版本、6.0.26 和之前的版本。OTRS；7.0.15 和之前的版本。(CVE-2020-1773)

- 当用户下载 PGP 或 S/MIME 密钥/证书时，导出文件的私钥和公钥具有相同名称。因此，可以将其混合并将私钥（而非公钥）发送给第三方。此问题影响以下 ((OTRS)) Community Edition：5.0.42 和之前的版本、6.0.27 和之前的版本。
OTRS：7.0.16 和之前的版本。(CVE-2020-1774)

- 当代理用户被重命名或被设置为无效时，属于该用户的会话将保持活动状态。如果代理无效，将无法使用会话来访问工单数据。此问题影响以下 ((OTRS)) Community Edition：6.0.28 和之前的版本。OTRS：7.0.18 和之前的版本、8.0.4 和之前的版本。(CVE-2020-1776)

- jQuery 验证插件可为现有表单提供嵌入式验证。系统将此插件作为 npm 程序包 jquery-validation 发布。1.19.3 版之前的 jquery-validation 包含一个或多个容易受到 ReDoS 攻击的正则表达式（正则表达式拒绝服务）。已在 1.19.3 中修复此问题。
(CVE-2021-21252)

- 攻击者会在电子邮件的正文中包含专门设计的 URL 时执行 DoS 攻击。这可导致高 CPU 使用率并造成服务质量低下，或者在极端情况下导致系统停止。此问题影响以下版本：OTRS AG ((OTRS)) Community Edition 6.0.x 版 6.0.1 和之后的版本。OTRS AG OTRS 7.0.x 版 7.0.26 和之前的版本；8.0.x 版 8.0.13 和之前的版本。(CVE-2021-21439)

- 如果所含文件夹未被隐藏，生成的支持捆绑包会包含 S/MIME 和 PGP 私钥。此问题影响以下版本：OTRS AG ((OTRS)) Community Edition 6.0.x 版 6.0.1 和之后的版本。OTRS AG OTRS 7.0.x 版 7.0.27 和之前的版本；8.0.x 版 8.0.14 和之前的版本。(CVE-2021-21440)

- 工单概览屏幕中存在一个 XSS 漏洞。可以通过在概览屏幕中显示电子邮件来收集各种信息。攻击者可通过向系统发送特别构建的电子邮件来发起攻击，并且这类攻击无需任何用户交互。此问题影响以下版本：OTRS AG ((OTRS)) Community Edition 6.0.x 版 6.0.1 和之后的版本。OTRS AG OTRS 7.0.x 版 7.0.26 和之前的版本。(CVE-2021-21441)

- 代理无需必要权限，便可在批量操作屏幕中列出客户用户电子邮件。此问题影响以下版本：OTRS AG ((OTRS)) Community Edition：6.0.x 版 6.0.1 和更高版本。OTRS AG OTRS：
7.0.27 之前的 7.0.x 版本。(CVE-2021-21443)

- 代理无需必要权限便可列出日历中的预约。此问题影响以下版本：
OTRS AG ((OTRS)) Community Edition：6.0.x 版 6.0.1 和更高版本。OTRS AG OTRS：7.0.27 之前的 7.0.x 版本。(CVE-2021-36091)

- OTRS 系统配置中特别构建的字符串允许执行任何系统命令。
(CVE-2021-36100)

- jQuery-UI 是官方的 jQuery 用户界面库。在 1.13.0 之前版本中，接受来自不受信任来源的 Datepicker 小组件的 `altField` 选项值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给 `altField` 选项的任何字符串值都会被视为 CSS 选择器。有一种解决方法是，不接受来自不受信任来源的 `altField` 选项值。
(CVE-2021-41182)

- jQuery-UI 是官方的 jQuery 用户界面库。在 1.13.0 之前版本中，接受来自不受信任来源的 Datepicker 小组件的不同 `*Text` 选项值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给不同 `*Text` 选项的值一律被视为纯文本，而不是 HTML。有一种解决方法是，不接受来自不受信任来源的 `*Text` 选项值。(CVE-2021-41183)

- jQuery-UI 是官方的 jQuery 用户界面库。- 在 1.13.0 之前的版本中，接受来自不受信任来源的 `.position()` 实用工具的 `of` 选项的值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给 `of` 选项的任何字符串值都会被视为 CSS 选择器。有一种解决方法是，不接受来自不受信任来源的 `of` 选项值。(CVE-2021-41184)

- OTRS AG OTRS、OTRS AG ((OTRS)) Community Edition 中的不当输入验证漏洞允许通过 TicketSearch Webservice 进行 SQL 注入。此问题影响以下 OTRS 版本：7.0.40 Patch 1 之前的 7.0.1、8.0.28 Patch 1 之前的 8.0.1；((OTRS)) Community Edition：6.0.1 至 6.0.34 版。(CVE-2022-4427)

- 在对 OTRS 通用接口模块执行 TicketCreate 或 TicketUpdate 操作期间，附件的 ContentType 参数存在不当输入验证漏洞，任何经过身份验证的攻击者均可利用此漏洞对附件的 ContentType 标头执行主机标头注入攻击。此问题会影响以下 OTRS 版本：
7.0.45 之前的 7.0.X、8.0.35 之前的 8.0.X；((OTRS)) Community Edition：从 6.0.1 到 6.0.34 版。
(CVE-2023-38060)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。