Zammad 3.3.0 & 3.2.1

Zammad 3.3.0 (minor) und 3.2.1 (patch)

1#: 👮 Fokus Security

Seit Zammad 1.0 (November 2016) hat sich viel getan. Wir sind mit der Verbreitung von Zammad besonders im Mittelstand, Konzernen und Hochsicherheitsumgebungen in neue Sphären vorgedrungen. Dadurch wurde Zammad in den letzten Monaten mehreren Security-Audits (von verschiedensten Organisationen) unterzogen.

Die Ergebnisse der sorgfältig durchgeführten Audits werden von uns gebündelt mit der Version 3.3.0 (bzw. 3.2.1) von Zammad veröffentlicht. Vielen Dank an dieser Stelle für das Vertrauen und die Verbesserungen, von denen alle Zammad-Anwender profitieren.

Hosted Zammad: Ihre Instanz wurde bereits im Vorfeld aktualisiert - es ist keine Aktion Ihrerseits nötig.

Self hosted Zammad: Wir empfehlen, Ihre Installationen umgehend zu aktualisieren.

Anbei eine Liste der betreffenden Security Advisories welche in diesem Release adressiert werden.

• ZAA-2020-01 Persistent Cross-Site Scripting - toolbar - XSS (CVE-2020-10099)
• ZAA-2020-02 Persistent Cross-Site Scripting - File Upload - XSS (CVE-2020-10103)
• ZAA-2020-03 Persistent Cross-Site Scripting - Email - XSS (CVE-2020-10098)
• ZAA-2020-04 Password Hashes Returned in Response of own session (CVE-2020-10104)
• ZAA-2020-05 Authorization Issues Allow for Users to View Data from Others (CVE-2020-10100)
• ZAA-2020-06 WebSocket Server DoS (CVE-2020-10101)
• ZAA-2020-07 Application Functionality Can Be Used to Determine Existing User Accounts (CVE-2020-10102)
• ZAA-2020-08 Information Disclosure in HTTP Headers of default config example (pending)
• ZAA-2020-09 Source Code Disclosure (CVE-2020-10105)
• ZAA-2020-10 Information Disclosure via Verbose Error Messages (CVE-2020-10097)
• ZAA-2020-11 Application Allows for Sensitive Information Caching (CVE-2020-10096)

2#: 🤖 Trigger & Automatisierungen in Abhängigkeit von Kalendern

Sie wollten schon immer unterschiedliche Auto-Responder innerhalb oder außerhalb Ihrer Servicezeiten versenden? Dies ist nun möglich. Einfach einen hinterlegten Kalender als Bedingung zum Trigger hinzufügen, schon wird dieser Trigger nur noch innerhalb oder außerhalb der Geschäftszeiten ausgeführt.

PS: Zudem können Sie nun auch Auto-Responder als intern oder extern (früher nur extern) markieren.

Technical Notes (für self hosted):

• Performance-Verbesserungen: CPU-Auslastung - Durch mehrere Verbesserungen wurde die benötigte CPU-Leistung des Schedulers erneut signifikant reduziert.
• Volltextsuche: In Elasticsearch wurden bisher keine Anhänge der Knowledge Base indiziert. Dies wurde mit Zammad 3.3 erweitert. Dadurch ist beim Update auf Zammad 3.3 eine Re-Indizierung von Elasticsearch nötig (zammad run rake searchindex:rebuild).

Downloads

Alle weiteren Verbesserungen finden Sie im Changelog.

Download Zammad 3.3.0

Changelog (2020-03-03)

Source code

• https://ftp.zammad.com/zammad-3.3.0.tar.bz2 (md5:45d55367c2247d52efab4dc38e9b93c7)
• https://ftp.zammad.com/zammad-3.3.0.tar.gz (md5:2119ee140a8abd0d48ef4033f4d939dd)
• https://ftp.zammad.com/zammad-3.3.0.zip (md5:4b81993958eb041234c0c357ba68ca01)

Download Zammad 3.2.1

Changelog (2020-03-03)

Source code

• https://ftp.zammad.com/zammad-3.2.1.tar.bz2 (md5:839c0852c65a8554119a26aa3438bbe1)
• https://ftp.zammad.com/zammad-3.2.1.tar.gz (md5:1e43ad19ec800dc8dc2eeab7997d266c)
• https://ftp.zammad.com/zammad-3.2.1.zip (md5:ebdb55b3665af0d6d67db23a8a3ce14f)

Packages

• CentOS: https://docs.zammad.org/en/latest/install-centos.html
• Debian: https://docs.zammad.org/en/latest/install-debian.html
• Ubuntu: https://docs.zammad.org/en/latest/install-ubuntu.html
• Docker-Compose: https://docs.zammad.org/en/latest/install-docker-compose.html

Upgrade

Informationen zum Upgrade einer Zammad-Installation finden Sie hier:

• From source: https://docs.zammad.org/en/latest/install-update.html#source-update
• With RPM: https://docs.zammad.org/en/latest/install-update.html#update-with-rpm
• With DEB: https://docs.zammad.org/en/latest/install-update.html#update-with-deb

Euer Zammad Team!