Alle Neuigkeiten rund um die Sector Nord AG

Sector Nord AG News

Znuny Sicherheitshinweis - August 2024

von Jannis Raasch

Hier der Hinweis zu den aktuellen Znuny-Sicherheitslücken.

Um Passwörter im Klartext zu protokollieren, müssen die Dateien auf dem Server modifiziert werden. Deshalb stufen wir das nicht als Sicherheitsproblem ein. Sobald jemand die Dateien auf dem Server ändern kann, ist es auch möglich ein eigenes Logging für Passwörter wieder einzubauen.

Da Logeinträge von Passwörtern nicht notwendig und erwünscht sind wird diese Funktion entfernt. Dazu wurde bereits von Emin Yazi (efflux) ein Pull Request bereitgestellt.

Zum CKEditor:

Eine aktualisierte Variante, die den Patch enthält, ist bereits seit mehreren Wochen im Test und wird mit Znuny LTS 6.5.11 bzw. Znuny 7.1.3 veröffentlicht. Znuny 7.2 wir dann den CKEditor 5 erhalten.

Die in unseren Augen wesentlich intensiveren Schwachstellen zu Dateiuploads wurde bereits in den Znuny-Releases im April 2024 behoben. Die dazugehörigen Advisories sind auf www.znuny.org/de/advisories veröffentlicht.

 

Quelle: https://www.znuny.org/de/blog/3rd-party-security-advisories-august-2024