Zammad 5.2.1
· Dieser Security Patch beinhaltet ein Update zu vorangegangenen Korrekturen sowie die Lösung dreier neuer Probleme, welche mit dem Release 5.2 aufgetreten sind. 🛡️
Bitte lesen Sie weiter für Details:
· Dieser Security Patch beinhaltet ein Update zu vorangegangenen Korrekturen sowie die Lösung dreier neuer Probleme, welche mit dem Release 5.2 aufgetreten sind. 🛡️
Bitte lesen Sie weiter für Details:
Für das Issue aus 5.1.1 gibt es ein Update. Nachdem die fehlende Limitierung der Passwort-Vergessen-Funktion ergänzt wurde, war anschließend immer noch eine Manipulation möglich, bei welcher das Rate-Limit umgangen werden konnte. Ab 5.2.1 werden diese Manipulationen noch besser erkannt und eine Manipulation ist nicht mehr möglich.
Nach dem Update 5.2 konnten Kunden mit mehreren zugewiesenen Organisationen auswählen, mit welcher Organisation sie neue Tickets eröffnen möchten. Dabei konnten sie in der Auswahl nicht nur die eigenen, sondern alle Organisationen des Systems sehen. Dies haben wir nun behoben.
Uns haben auch Hinweise erreicht, dass der in Zammad eingebaute Schutz vor Brute-Force-Angriffen zum Erraten von Passwörtern teilweise umgangen werden konnte. Auch diese Lücke wurde nun geschlossen.
Zammad hat die Autorisierung für bestimmte Endpunkte von Anhängen nicht korrekt durchgeführt. Dies könnte von einem nicht authentifizierten Angreifer missbraucht werden, um Zugriff auf Anhänge wie E-Mails oder angehängte Dateien, zu erhalten.
Hinweis: 🏠 Gehostete Instanzen werden automatisch aktualisiert, sodass von Ihrer Seite keine Maßnahmen erforderlich sind.
Das entsprechenden Advisories finden Sie hier:
Alle Änderungen finden Sie wie immer im Changelog.
Informationen zu einem Upgrade Ihrer Zammad-Instanz finden Sie hier:
Bitte beachten Sie, dass Sie ab Zammad 5.0 Node.js benötigen, um 'rake assets:precompile' auszuführen.
Dies betrifft alle Quellcode-Installationen und diejenigen, die Javascript- oder Stylesheet-Dateien in Zammad ändern.
Mehr dazu in der Dokumentation.