Deutschland: Schwachstelle in OTRS ermöglicht DoS-Angriff
Einführung
Eine Schwachstelle im Open-Source-Ticketsystem OTRS erlaubt einem entfernten, authentifizierten Angreifer, den Dienst durch gezielte Manipulation lahmzulegen. Die Meldung stammt vom CERT-Bund und wurde am 20. April 2026 veröffentlicht.
Hintergrund der Sicherheitslücke
OTRS wird in vielen Unternehmen und Behörden zur Verwaltung von Kundenanfragen eingesetzt. Die betroffene Komponente verarbeitet bestimmte Eingaben, ohne ausreichende Prüfungen vorzunehmen, wodurch ein Angreifer die Systemstabilität gefährden kann.
Technische Details
Der Angreifer muss über gültige Anmeldedaten verfügen und kann dann speziell formatierte Anfragen an das System senden. Diese Anfragen führen zu einer Überlastung von Ressourcen, was schließlich zu einem Denial-of-Service (DoS) führt. Der Vorgang lässt sich automatisieren und erfordert keine physischen Zugriffe.
Betroffene Versionen
Laut der Analyse sind alle OTRS-Versionen bis einschließlich 7.0.27 von der Schwachstelle betroffen. Neuere Versionen, die nach dem 15. März 2026 veröffentlicht wurden, enthalten bereits einen Patch, der das Problem adressiert.
Empfohlene Gegenmaßnahmen
Der CERT-Bund rät Betreibern, unverzüglich auf die aktuelle Version zu aktualisieren oder den von OTRS bereitgestellten Sicherheitspatch zu installieren. Zusätzlich sollten starke Authentifizierungsmechanismen eingesetzt und Zugriffsrechte regelmäßig überprüft werden.
Ausblick
Weitere Untersuchungen sollen klären, ob ähnliche Schwachstellen in verwandten Modulen existieren. Nutzer werden gebeten, Sicherheitsupdates zeitnah zu prüfen, um die Verfügbarkeit ihrer Systeme zu gewährleisten.
Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).
Ende der Übertragung