Release

Zammad 3.5.0 & 3.4.1

· Wir freuen uns Zammad 3.5 zu veröffentlichen. Dies ist auch ein Sicherheits-Release.

Uns erreichen immer mehr großartige Vorschläge und Ideen, wie man Zammad weiter verbessern könnte (danke dafür!). Und jetzt ist es wieder soweit: Mit Zammad 3.5 haben wir neue Features umgesetzt, die sich unsere Nutzer schon länger gewünscht haben: einen simpleren Vorgang zur Löschung von Nutzern und die Möglichkeit für Nutzer, sowohl Kunde als auch Agent zu sein. Schauen wir es uns genauer an! 🎈🎈🎈

1: 🔏 Einfacherer Benutzerlöschvorgang bietet zusätzliche Datensicherheit

Kategorie: Datenschutz

Datenschutz ist seit einiger Zeit überall Thema. Wir haben jetzt das Löschen von Benutzerdaten bei Zammad nachgerüstet, um folgenden Verordnungen zu entsprechen:

  • DSGVO/GDPR (EU)
  • CCPA (Kalifornien)
  • DPC (Indien)
  • APPI (Japan)
  • OAIC (Australien)
  • PIPEDA (Kanada)
  • DPA (UK)

Einfacherer Vorgang und mehr Sicherheit? Klingt nach einem Win, oder?

Was bedeutet das?

Im Fall von Zammad betrifft dies insbesondere die Löschanfragen für benutzereigene Daten, also wenn uns zum Beispiel ein Kunde kontaktiert und darum bittet, alle seine Daten aus dem System zu entfernen. (Finden wir übrigens immer schade!)

  • Bisher musste dies von einem Admin manuell über die Zammad-Konsole erledigt werden. Das dauert lange und nervt.
  • Jetzt verfügt Zammad über eine neue Art von Berechtigung und eine spezielle Admin-Ansicht, die es ermöglichen, den Benutzer und seine Daten direkt aus dem Ticket heraus zu löschen. Weniger Klicks – weniger Aufwand!

Was ist der Vorteil?

Ganz einfach: Ein Benutzer kann jetzt samt seiner Tickets sekundenschnell aus dem System entfernt werden. Sofern er der einzige Benutzer in einer Organisation ist, wird auch diese gelöscht. Trotzdem bleibt die Revisionssicherheit geschützt, denn alle Ticketnummern und pseudonymisierten Benutzerdaten bleiben erhalten. Alle Bearbeitungshistorien sind also nach wie vor uneingeschränkt einsehbar.

Das Ergebnis? Eine effiziente Lösung für ein konkretes Problem. Die bieten übrigens nur die wenigsten Helpdesk Softwares. ;)

Wie funktioniert's?

Der Vorgang ist einfach und lässt sich auf zwei Wegen starten:

  • über die Kunden-Seitenleiste unter der erweiterten Aktion "Benutzer löschen"
  • über die Profilseite eines Benutzers, die sich zum Beispiel über die Suche öffnen lässt. Diese Option steht jedoch nur berechtigten Benutzern zur Verfügung.

Im Anschluss werden Sie in den Admin-Bereich "Data Privacy" weitergeleitet. Eine Vorschau zeigt Ihnen dort an, welche Tickets im Folgenden gelöscht werden. Außerdem können Sie die Organisation ebenfalls entfernen, sofern keine weiteren Benutzer zugewiesen sind.

Erst nach einer doppelten Bestätigung wird ein Löschauftrag angelegt, was den Benutzer samt Daten (asynchron) löscht. Ein versehentliches Löschen ist somit quasi ausgeschlossen und ungeschickte Finger haben keine Chance!

Und das war’s schon! 💪

Screenshot Zammad Datenschutz

2: 🔄 Agenten können nun auch Kunden sein (und umgekehrt)

Kategorie: Berechtigung

Wenn Sie sich am Kopf kratzen, ob oder warum Sie diese Funktion brauchen sollten, ist das in Ordnung - diese Funktion ist nicht für jeden Anwendungsfall relevant. Aber für die Unternehmen, Teams und Organisationen, die neben Kundenanfragen auch eigene Aufgaben im Zammad verwalten, ist das eine große Sache.

Was bedeutet das?

Zammad baute bislang auf dem Konzept auf, dass jeder Benutzer eine Rolle hat, die nicht nur bestimmt, was der Benutzer tun kann, sondern auch wie Menüs und Übersichten in Zammads Web-Oberfläche aussehen.

  • Agenten bearbeiten Tickets, das heißt sie erledigen Aufgaben wie das Versenden von E-Mails mit der Firmen-E-Mail-Adresse und bearbeiten Tickets aus ihrem Verantwortungskreis. Ein Agent konnte bislang jedoch nicht die eigenen Anfragen einsehen, sofern diese von einem anderen Team bearbeitet wurden.
  • Kunden erstellen Tickets und erhalten spezielle "Übersichten" über alle Tickets, die sie (oder alle Mitglieder ihrer Organisation) eingereicht haben.
    In der Vergangenheit schlossen sich die Rollen "Kunde" und "Agent" gegenseitig aus - das heißt, man konnte nicht beides zur gleichen Zeit sein.

Nun kann Zammad auch umfangreiche Organisations- und Berechtigungsstrukturen abbilden. Die entsprechenden Rechte können ganz einfach zugewiesen werden.

Was ist der Vorteil?

Der große Benefit dieses neuen Features lässt sich an einem simplen Praxisbeispiel ganz einfach erklären:
Stellen Sie sich vor, es gibt ein HR-Team und ein IT-Team der gleichen Firma, die beide Zammad nutzen.

  • Das HR-Team ist Kunde in der IT-Gruppe.
  • Und das IT-Team ist Kunde in der HR-Gruppe.

Das Ergebnis wäre unter anderem Folgendes:

  • Das HR-Team kann selber keine Urlaubsanfragen über die Zammad-Oberfläche stellen, weil es in seiner Gruppe Agent ist, aber kein Kunde – es kann keine neuen Tickets für HR erstellen.
  • Das IT-Team kann selbst keine Support-Anfragen stellen, weil es nicht Kunde der IT ist.
  • Keiner kann die internen Artikel der anderen Teams sehen.

Da jetzt ein Nutzer sowohl Kunde als auch Agent gleichzeitig sein kann, sind diese Einschränkungen aufgehoben.

Wie funktioniert's?

In der Praxis ist es ganz einfach:

In der Benutzerverwaltung des Admin-Bereichs können Sie einem Benutzer nun gleichzeitig Agenten- und Kunden-Berechtigungen zuweisen. Danach entscheiden die Gruppen-Berechtigungen, in welcher Gruppe man die Aufgaben/Berechtigungen/Funktionen eines Kunden oder Agenten nutzt und erfüllt.

Einige langjährige Zammad-Nutzer, bei denen viele Teams mit Zammad arbeiten, wünschten sich schon länger die Möglichkeit, diese Berechtigungs-Struktur umzudenken. Ein herzliches Dankeschön an unsere Sponsoren, die diesen großen Schritt möglich gemacht haben: das (link https://krankenhaus.dornbirn.at/ text: Krankenhaus Stadt Dornbirn) und die EKHN (Evangelische Kirche in Hessen und Nassau). 🎉🎉🎉

Dank ihnen haben wir nun die Perspektive gewechselt und Strukturen neu ausgerichtet.

💡 Haben Sie eine Feature-Idee? Werden Sie noch heute Sponsor!

Zammad bietet eine zuverlässige Support-Plattform, auf die Sie, Ihr Team und alle Anfragenden sich vertrauensvoll stützen können. Wenn Sie sich aber Funktionen wünschen, die Zammad bisher nicht bietet, zögern Sie nicht sich zu melden. Zammad, also zusammen, finden wir heraus, wie wir Ihre Anforderungen verwirklichen können.

3: Sicherheitsschwachstellen

Wir haben die Gelegenheit nach den großen Security-Audits von Zammad 3.3 zum Anlass und uns die Zeit genommen, auch selbst noch mal genauer hin zu schauen. Dankender Weise haben wir zusätzlich wieder Unterstüztung aus der Community bekommen, sod ass es zwei weitere Schwachstellen zu berichten gibt, die wir beheben konnten.

Hosted Zammad: Ihre Instanz wurde bereits im Vorfeld aktualisiert - es ist keine Aktion Ihrerseits nötig.

Self hosted Zammad: Wir empfehlen, Ihre Installationen umgehend zu aktualisieren.

Folgend eine Liste der betreffenden Security Advisories, welche in diesem Release adressiert werden.

  • ZAA-2020-14 Application Functionality Can Be Used to Determine Existing User Accounts (CVE ausstehend)
    ZAA-2020-15 Functionality Can Be Used to perform Server-Side Request Forgery (CVE ausstehend)
    ZAA-2020-16 Global search leaks Knowledge Base drafts to Knowledge Base readers (CVE ausstehend)
    ZAA-2020-17 Tag and Link REST API endpoints lack CSRF token check (CVE ausstehend)
    ZAA-2020-18 Authentication bypass in SSO endpoint (CVE ausstehend)
    ZAA-2020-19 Admin Users without ticket.* Permission can access Tickets (CVE ausstehend)
    ZAA-2020-20 Wrong authorization checks for impersonation requests via X-On-Behalf-Of (CVE ausstehend)
    ZAA-2020-21 Stored XSS in Tags element (CVE ausstehend)

Technical Notes (für self hosted/API clients):

  • Wir empfehlen dringend the NGINX / Apache2 wie hier beschrieben anzupassen
  • Die benötigte Ruby-Version wurde von 2.6.5 auf 2.6.6 aufgrund der Sicherheitsschwachstellen CVE-2020-10933 und CVE-2020-10663 geändert
  • Debian 8 hat den EOL status erreicht und wird ab der kommenden Zammad Version 3.6 nicht mehr mit Paketen versorgt
  • Die hinzufügen und löschen Endpunkte der REST API für Tags und Links haben sich geändert
  • Die SSO Funktion muss jetzt manuell via Admin -> Sicherheit -> Third-party Applications -> Authentication via SSO aktiviert werde

Downloads

Alle weiteren Verbesserungen finden Sie im Changelog.

Download Zammad 3.5.0

Changelog (2020-09-22)

Source code

Download Zammad 3.4.1

Changelog (2020-09-22)

Source code

Packages

Upgrade

Informationen zum Upgrade einer Zammad-Installation finden Sie hier:

Euer Zammad Team!

Signup
Freuen Ihre Kunden sich schon auf die Service-Hotline?
Kostenlos testen!
Newsletter
Alle Neuigkeiten direkt in Ihrer Inbox!
Zum Newsletter anmelden