3rd Party Security Advisories August 2024

Hallo Znuny Community,

aufgrund der Vielzahl der Anfragen hier eine Meldung zu den veröffentlichten Advisories eines anderen Herstellers.

Um wie erwähnt Passwörter im Klartext zu protokollieren, muss man die Dateien auf dem Server modifizieren. Deshalb stufen wir das nicht als Sicherheitsproblem ein. Sobald jemand die Dateien auf dem Server ändern kann, ist es auch möglich ein eigenes Logging für Passwörter wieder einzubauen.

Da Logeinträge von Passwörtern nicht notwendig und erwünscht sind wird diese Funktion entfernt. Dazu wurde bereits von Emin Yazi (efflux) ein Pull Request bereitgestellt.

Zum CKEditor:
Eine aktualisierte Variante, die den Patch enthält, ist bereits seit mehreren Wochen im Test und wird mit Znuny LTS 6.5.11 bzw. Znuny 7.1.3 veröffentlicht. Znuny 7.2 wir dann den CKEditor 5 erhalten.

Die in unseren Augen wesentlich intensiveren Schwachstellen zu Dateiuploads wurde in unseren Releases bereits im April 2024 behoben. Die dazugehörigen Advisories sind auf www.znuny.org/de/advisories veröffentlicht; Supportkunden wurde und werden zusätzlich aktiv per E-Mail von uns informiert