OTOBO Release note

OTOBO 10.0.10 – Security Patch

21. April 2021

Sicherheitsrelevant:

• OTOBO 10.0.10 behebt eine kritische Schwachstelle, die es Angreifern durch XSS ermöglichte, mithilfe einer manipulierten E-Mail über die Ticketübersicht Daten abzugreifen. Danke an Znuny für die Bereitstellung von Information und Fix (ZSA-2021-06; Kritikalität: hoch).
• JQuery-Validate-Update auf 1.19.3., behebt eine Schwachstelle, die ReDoS-Angriffe ermöglichte (CVE-2021-21252; Kritikalität: niedrig)

Außerdem neu:

• Neue Sprache: Sinhala
• Neu: Möglichkeit zur Definition individueller Einstellungen im Kundenbereich.
  Das Feature ist standardmäßig aktiv. Falls nicht gewünscht, deaktivieren Sie bitte die SysConfig-Einstellung CustomerFrontend::Module###CustomerPreferences
• Neu: Kerberos-SSO jetzt auch in Docker möglich
• Überarbeitung der Standardeinstellungen für Passwörter – Möglichkeit zur Passwortänderung durch User jetzt standardmäßig aktiv. Bitte prüfen Sie Ihre Passworteinstellungen in PreferencesGroups###Password und CustomerPreferencesGroups###Password
• Überarbeitung der Benachrichtigungsmodule zum CustomerUserTimeZone-Check im Kundenbereich – standardmäßig werden keine Benachrichtigungen mehr für Kundenbenutzer ohne gesetzte Zeitzonen angezeigt. Bitte aktivieren Sie CustomerFrontend::NotifyModule###7-CustomerUserTimeZone-Check, wenn Kundenbenutzer weiterhin dazu aufgefordert werden sollen, ihre Zeitzone zu definieren
• Weitere Bugfixes in der Migration, v. a. im Umgang mit PostgreSQL- und Oracle-Datenbanken
• Elasticsearch – Möglichkeit zur vollständigen Migration von Kundenbenutzern in Elasticsearch, auch wenn ein LDAP-Backend die Menge simultan übertragender Daten einschränkt
• Ticketstatus: In Systemen, in denen Kundenbenutzern die Möglichkeit eingeräumt wird, den Ticketstatus anzupassen, kann durch die neue Einstellung Ticket::Frontend::CustomerTicketZoom###StatePreset dennoch eine Standardvorauswahl definiert werden

Bitte aktualisieren Sie Ihr System schnellstmöglich.