Die Sicherheitslücke im Modul Sessions wurde erfolgreich behoben. Aufgrund einer fehlenden Eingabevalidierung für den Parameter client_id war es einem authentifizierten Benutzer möglich, Verzeichnisüberquerungssequenzen (../) einzuschleusen und über FileUtils.rm_rf eine rekursive Löschung beliebiger Dateien und Verzeichnisse auf dem Server auszulösen. Dies erfolgt als Nebeneffekt während der Sitzungsabfrage (Sessions.get), bevor der Controller eine Antwort zurückgibt – unabhängig davon, ob die Abfrage selbst erfolgreich ist.

Empfohlene Maßnahme

SaaS-Kunden: Es sind keine Schritte erforderlich. Ihre Instanzen wurden bereits durch unser Team aktualisiert und abgesichert.

Selbst gehostete Installationen: Wir empfehlen dringend, Ihr System umgehend auf die neueste Zammad-Version zu aktualisieren, um den Schutz Ihrer Installation sicherzustellen.

⚠️ Wichtiger Hinweis: Alle Nutzer, die noch mit Version 7.0 arbeiten, müssen zum stable-7.0 Zweig wechseln, um das neueste Update zu erhalten.

Behobene Sicherheitslücken

🚨 Wichtiger Hinweis zum Update

  • Vor dem Update müssen alle Nutzer mit selbst gehosteten Paketen durch eine Änderung ihrer Repository-Konfiguration auf das neue Paket-Hosting umsteigen. Die alten Repositories stellen nur noch Versionen vor 7.1.x bereit und werden nur noch für kurze Zeit verfügbar sein, bevor der Dienst eingestellt wird. Anleitungen zur Aktualisierung Ihrer Paketverwaltung finden Sie in der Dokumentation.