OTOBO Release note

OTOBO 10.0.12 – Security Patch

21. August 2021

Sicherheitsrelevant:

  • Dateien aus den in den SysConfig-Optionen SMIME::PrivatePath und SMIME::CertPath hinterlegten Verzeichnissen werden nicht mehr ins Supportbundle aufgenommen, wenn sie im OTOBO Verzeichnis liegen (CVE-2021-21440).
  • Es wurden Schwachstellen behoben, die es authentifizierten Agenten erlaubten, E-Mail-Adressen von Ticketempfängern und Termine in Kalendern anzuzeigen, auf die sie keinen Zugriff hatten (CVE-2021-36091, CVE-2021-21443).
  • Veraltete Pakete im Docker Base-Image wurden aktualisiert (Perl, Elasticsearch, MariaDB und Redis)
  • Nach Aktivieren von “DisableCustomerCompanyTickets” werden Tickets nicht mehr in der Elasticsearch Schnellsuche angezeigt

Kritikalität: niedrig bis mittel.

Außerdem neu:

  • Ergänzt wurde die Möglichkeit, komplexe Einstellungen für die Elasticsearch-Suche vorzunehmen: Die Elasticsearch-Indexeinstellungen können nun via Kernel/Config.pm angepasst werden (siehe das Elasticsearch::IndexTemplate in Defaults.pm). Für komplexere Einstellungen verwenden Sie bitte ElasticSearch::IndexSettings### statt ArticleIndexCreationSettings.
  • Docker Images um GNU Screen ergänzt
  • Docker Image um Lets Encrypt Certbot erweitert
  • Änderung der Standardeinstellungen für die Höchstanzahl pro Seite angezeigter dynamischer Felder
  • Weitere Verbesserung des Migrationsskripts (Überprüfung auf ungültige NULL-Werte in der Quelldatenbank, Kürzung der Spalten bei Migrationen von PostgreSQL zu MariaDB, Lösung von Problemen mit dem DirectBlob Feature, Aufruf des ResetAutoIncrementFields)
  • Verschiedene Bugfixes (Agenten-E-Mail kann jetzt mit dem Benutzernamen übereinstimmen; Statusauswahl im Kundenbereich springt nicht mehr, wenn ein ACL aktiv ist; Kundenbenutzer-Änderungen können verwendet werden, um ACLs auszulösen etc.)
  • Neue Übersetzungen

Bitte aktualisieren Sie Ihr System schnellstmöglich.