Liebe Leser,<\/p>\n
heute Nachmittag wurden mit Znuny LTS 6.5.21 und Znuny 7.3.3 zwei neue Versionen des beliebten Open-Source-Ticketsystems ver\u00f6ffentlicht. Die neuen Updates konzentrieren sich vor allem auf Sicherheitsverbesserungen, Fehlerbehebungen und kleinere Optimierungen im t\u00e4glichen Betrieb. Auch wenn auf den ersten Blick keine gro\u00dfen neuen Funktionen hinzukommen, sind diese Updates besonders wichtig \u2013 denn sie schlie\u00dfen mehrere Sicherheitsl\u00fccken und sorgen f\u00fcr einen stabileren und zuverl\u00e4ssigeren Betrieb Ihres Systems. Deshalb raten wir dringend dazu, zeitnah auf eine der neuen Versionen zu aktualisieren.<\/p>\n
Ein Schwerpunkt der neuen Versionen liegt auf wichtigen Sicherheitskorrekturen. Unter anderem wurde ein Problem im Template-Generator behoben, das in bestimmten Situationen zu einer Endlosschleife beim Ersetzen von Tags f\u00fchren konnte. Solche Fehler k\u00f6nnen die Stabilit\u00e4t des Systems beeintr\u00e4chtigen und unter Umst\u00e4nden sogar dazu f\u00fchren, dass Prozesse h\u00e4ngen bleiben.<\/p>\n
Au\u00dferdem wurde eine weitere Sicherheitskorrektur f\u00fcr verschleierte Script-Tags umgesetzt. Dabei handelt es sich um speziell manipulierte Inhalte, mit denen versucht werden kann, sch\u00e4dlichen Code einzuschleusen. Die neuen Versionen erkennen und blockieren solche Inhalte nun deutlich zuverl\u00e4ssiger.<\/p>\n
Zus\u00e4tzlich wurde eine XSS-Sicherheitsl\u00fccke in der Administrationsansicht des Kommunikationsprotokolls geschlossen. \u00dcber manipulierte JavaScript-Inhalte in URL-Parametern konnten unter bestimmten Umst\u00e4nden sch\u00e4dliche Skripte ausgef\u00fchrt werden. Solche sogenannten Cross-Site-Scripting-Angriffe k\u00f6nnen dazu genutzt werden, Sitzungen zu manipulieren oder Daten auszulesen. Durch das Update wird dieses Risiko deutlich reduziert.<\/p>\n
Auch in den Benutzereinstellungen wurde eine XSS-Schwachstelle behoben. Hier konnten bestimmte Inhalte aus der Datenbank potenziell missbraucht werden, um sch\u00e4dlichen Code einzuschleusen. Die neue Version sch\u00fctzt diesen Bereich nun besser ab.<\/p>\n
Diese Sicherheitsupdates zeigen einmal mehr, wie wichtig regelm\u00e4\u00dfige Aktualisierungen bei produktiven Ticketsystemen sind. Gerade Systeme wie Znuny enthalten oft sensible Kunden- und Kommunikationsdaten und sollten daher immer auf einem aktuellen Stand gehalten werden.<\/p>\n
In der neuen LTS-Version 6.5.21 wurde au\u00dferdem ein Fehler im Paketmanager behoben. Bislang konnte es vorkommen, dass bei Paketoperationen \u2013 also beispielsweise beim Installieren oder Aktualisieren von Erweiterungen \u2013 die Benutzer-ID nicht korrekt verwendet wurde.<\/p>\n
Das klingt zun\u00e4chst technisch, ist im Alltag aber wichtig f\u00fcr eine saubere Rechteverwaltung und Nachvollziehbarkeit innerhalb des Systems. Mit dem Update werden solche Vorg\u00e4nge jetzt wieder korrekt einem Benutzer zugeordnet.<\/p>\n
Auch die Version 7.3.3 bringt mehrere praktische Fehlerbehebungen mit sich, die die t\u00e4gliche Nutzung angenehmer machen.<\/p>\n
Unter anderem wurde die Bereitstellung benutzerdefinierter \u00dcbersetzungen w\u00e4hrend einer Migration verbessert. Dadurch bleiben individuelle Sprach-Anpassungen jetzt zuverl\u00e4ssiger erhalten, wenn Systeme aktualisiert oder umgezogen werden.<\/p>\n
Ein weiterer Fehler betraf die Anzeige des Textes \u201eRich Text Editor\u201c. Dieser wurde in manchen Dialogen zus\u00e4tzlich zur eigentlichen Feldbezeichnung angezeigt und sorgte dadurch f\u00fcr eine un\u00fcbersichtliche Darstellung. Das Problem wurde nun behoben.<\/p>\n
Auch kleinere Darstellungsfehler wurden korrigiert. So wurde beispielsweise an einigen Stellen versehentlich der Buchstabe \u201eO\u201c statt der Zahl \u201e0\u201c in Farbwerten verwendet, was zu fehlerhaften Farbdarstellungen f\u00fchren konnte. Ebenso wurde ein Problem mit fehlenden Leerzeichen zwischen HTML-Attributen behoben, das ung\u00fcltigen Quellcode verursachen konnte.<\/p>\n
Verbessert wurde au\u00dferdem die Sicherheitsoption beim Versand verschl\u00fcsselter oder signierter E-Mails. Bisher lie\u00df sich diese Option im Verfassen-Dialog nicht manuell deaktivieren, wenn bereits ein Standardschl\u00fcssel f\u00fcr die Queue hinterlegt war. Mit der neuen Version funktioniert diese Einstellung nun flexibler und nachvollziehbarer.<\/p>\n
Zus\u00e4tzlich wurde ein Problem beim Archivieren von Tickets behoben. Dabei gingen bislang teilweise Markierungen f\u00fcr Erw\u00e4hnungen oder bereits gelesene Inhalte verloren. Diese Informationen bleiben jetzt auch nach der Archivierung erhalten.<\/p>\n