Zammad 5.2.2

Security Patch Level Release 🔐

Der Asset-Handling-Mechanismus von Zammad verfügt über eine Logik, die sicherstellt, dass Kundenbenutzer nicht in der Lage sind, die persönlichen Daten anderer Benutzer zu sehen. Diese Logik war nicht wirksam, wenn sie über eine Web-Socket-Verbindung verwendet wurde, so dass ein angemeldeter Angreifer in der Lage war, persönliche Daten anderer Benutzer durch Abfragen der Zammad-API abzurufen. Ab sofort ist die Logik auch bei der Nutzung der Web-Socket-Verbindung wirksam.

Zammad verfügt über ein fein abgestuftes Berechtigungsmodell, welches die Konfiguration eines Nur-Lese-Zugriffs auf Tickets ermöglicht. Agenten waren fälschlicherweise dennoch in der Lage einige Operationen an solchen Tickets durchzuführen, wie das Hinzufügen und Entfernen von Links, Tags und zugehörigen Antworten. Dieser Fehler wurde nun behoben.

Hinweis: 🏠 Gehostete Instanzen werden automatisch aktualisiert, sodass von Ihrer Seite keine Maßnahmen erforderlich sind.

Advisories

Das entsprechenden Advisories finden Sie hier:

• https://zammad.com/en/advisories/zaa-2022-09
• https://zammad.com/en/advisories/zaa-2022-10

Downloads

Alle Änderungen finden Sie wie immer im Changelog.

Download Zammad 5.2.2

Changelog

Source code

• ftp.zammad.com/zammad-5.2.2.tar.bz2 (0948153269493501ccec1551bbe53eda)
• ftp.zammad.com/zammad-5.2.2.tar.gz (333e715e74399cfde99af8f0cccb2677)
• ftp.zammad.com/zammad-5.2.2.zip (3e6ffecb178d41bce96dc697124f8023)

Packages

• CentOS
• Debian
• Ubuntu
• Docker-Compose

Upgrade

Informationen zu einem Upgrade Ihrer Zammad-Instanz finden Sie hier:

• From source
• With RPM
• With DEB

Hinweise

Node.js dependency

Bitte beachten Sie, dass Sie ab Zammad 5.0 Node.js benötigen, um 'rake assets:precompile' auszuführen.
Dies betrifft alle Quellcode-Installationen und diejenigen, die Javascript- oder Stylesheet-Dateien in Zammad ändern.
Mehr dazu in der Dokumentation.