· Diese Version behebt einige kleinere Probleme im Zusammenhang mit dem Passwort und der Funktion "Passwort vergessen". Nutzer mit selbst gehosteten Instanzen werden gebeten, ein Update auf 5.1.1 durchzuführen, um diesen Fehler zu beheben. 🛡️
Bitte lesen Sie weiter für Details:
Aufgrund einer fehlenden Längenbeschränkung konnten Benutzer beim Einrichten eines Kontos für Zammad extrem lange Benutzerpasswörter konfigurieren. Ein zu langes Passwort könnte während der Verschlüsselung Serverprobleme verursachen, welche schließlich zu einem Denial-of-Service führen.
Wir haben hier die fehlende Längenbeschränkung ergänzt.
Für die Funktion "Passwort vergessen" gab es keine Begrenzung, wie oft und in welcher Zeitspanne dieser Vorgang durchgeführt werden kann. Ein Angreifer könnte in kurzer Zeit eine große Anzahl von Anfragen senden und damit das Opfer belästigen und zusätzlich eine Überlastung des Servers verursachen.
Wir haben dieses Problem gelöst, indem wir ein Zeitlimit festgelegt haben, in welchem nur eine begrenzte Anzahl von Anfragen gesendet werden kann. Wenn diese aufgebraucht sind, muss eine bestimmte Zeit vergehen, bevor neue Anfragen gesendet werden können.
Das entsprechenden Advisories finden Sie hier:
Alle Änderungen finden Sie wie immer im Changelog.
Informationen zu einem Upgrade Ihrer Zammad-Instanz finden Sie hier:
Bitte beachten Sie, dass Sie ab Zammad 5.0 Node.js benötigen, um 'rake assets:precompile' auszuführen.
Dies betrifft alle Quellcode-Installationen und diejenigen, die Javascript- oder Stylesheet-Dateien in Zammad ändern.
Mehr dazu in der Dokumentation.