· Dieser Security Release behebt die unbeabsichtigte Offenlegung von Informationen während der Abwesenheit (Vertreterfunktion). Nutzer mit selbst gehosteten Instanzen werden gebeten, ein Update auf 5.0.3 durchzuführen, um diesen Fehler zu beheben. 🛡️
Nach dem Upgrade auf Zammad 5.0 haben einige Kunden einen Fehler in der Handhabung von Benachrichtigungen festgestellt:
Zammad bietet die Möglichkeit, einen anderen Benutzer als Vertretung während einer Abwesenheit zu definieren. Der ausgewählte Benutzer erhält dann die Benachrichtigungen und Tickets des abwesenden Benutzers. 🏖️
Einige User berichteten, dass die Ersatzbenutzer Benachrichtigungen von Gruppen sahen, denen sie nicht angehören. Obwohl sie keinen Zugriff auf die entsprechenden Tickets hatten, könnten allein die Benachrichtigungen sensible Informationen preisgeben, die nicht für sie bestimmt sind.
Wir nehmen dieses Problem ernst und haben deshalb kurzfristig einen neuen Security Release erstellt, anstatt auf die Veröffentlichung von Zammad 5.1 zu warten.
Hinweis: 🏠 Gehostete Instanzen werden automatisch aktualisiert, so dass von Ihrer Seite aus keine Maßnahmen erforderlich sind.
Frühere Versionen, vor Zammad 5.0, sind von dieser Sicherheitslücke nicht betroffen.
Das entsprechende Advisory finden Sie hier:
Alle Änderungen finden Sie wie immer im Changelog.
Informationen zu einem Upgrade Ihrer Zammad-Instanz finden Sie hier:
Bitte beachten Sie, dass Sie ab Zammad 5.0 Node.js benötigen, um 'rake assets:precompile' auszuführen.
Dies betrifft alle Quellcode-Installationen und diejenigen, die Javascript- oder Stylesheet-Dateien in Zammad ändern.
Mehr dazu in der Dokumentation.