Die Weiterentwicklung von Znuny LTS ist in vollem Gange – das vierte Release Znuny LTS 6.0.34 wurde am 21.04.21 veröffentlicht!

In der Hauptsache schließt dieses Security Update eine XSS-Sicherheitslücke, die ohne gezielte Nutzer-Interaktion aus OTRS 6 CE / Znuny LTS Daten abziehen oder andere Angriffe starten kann. Dafür reicht es aus, wenn das auslösende Ticket in einer der Ticketlisten enthalten ist, dabei kann das Ticket selbst sogar durch den Angriff per JavaScript ausgeblendet worden sein! Eine Vermeidung des Problems ist wegen der Art des Angriffsvektors nur schlecht möglich! Ausgelöst werden kann der Angriff durch eine Auflistung im Dashboard oder z.B. der Ticketansicht nach Queues.

Für Kunden, die nicht sofort auf das neue Release aktualisieren können, steht ein Bugfix Paket zur Verfügung, welches als temporäre Lösung genutzt werden kann. Das Installieren des Bugfix erfolgt über das Freebie Repo von Znuny. Tatsächlich ist der Fix nicht sehr umfangreich, jedoch nach unserer Einschätzung sehr wichtig! Wir haben das Problem nachgestellt und empfehlen wirklich dringend, diese Schwachstelle mit dem Bugfix oder dem Update auf das aktuellste Release zu schließen!

Hauptsächlich sind Installationen ab OTRS CE 6.0.20 betroffen. Jedoch kann die Sicherheitslücke auch in älteren Versionen getriggert werden, wenn verschiedene Bedingungen erfüllt sind.

Mit dem Release Znuny LTS 6.0.34 wurde auch das FAQ Paket aktualisiert. Die dort lokalisierte Schwachstelle ermöglicht es, bei entsprechender Konfiguration in der Sysconfig, einen Zugang zu verlinkten FAQ Inhalten zu bekommen, ohne die benötigten Rechte dafür zu besitzen.

Neben diesen beiden großen Schwachstellen wurden im neuen Release wieder zahlreiche Vorschläge und Issues aus der Community behandelt bzw. wurden direkt in das Release eingepflegt. So sind auch von maxence insgesamt sieben Bugfixes und Verbesserungen eingeflossen.

Das maxence-Team unterstützt Sie gerne beim Update auf Znuny LTS oder beim Einspielen des o.g. Bugfixes.
Sprechen Sie uns bitte gerne an!