Am 05.06.2016 wurden auf Redmine.org neue Maintenance Releases für Redmine bereit gestellt die unter anderem von Usern berichtete Sicherheitslücken (XSS vulnerabilities) in Redmine fixen. Mehr zu den Änderungen findet ihr im aktuellen Changelog.
Mit dem Maintenance Release werden unter anderem folgende Sicherheitslücken gefixt:
- Defect #22924: Persistent XSS in Markdown parsing
- Defect #22925: Persistent XSS in project homepage field
- Defect #22926: Persistent XSS in Textile parsing
Die aktuellste Version (3.2.3 und 3.1.6) könnt ihr euch auf Redmine.org herunter laden.
Info XSS: Cross-Site-Scripting (Deutsch: Webseitenübergreifendes Skripting)
Tipp: Redmine Update vom Profi
Ihr wisst ja selbst wie wichtig es ist ein Sicherheits-Update schnell einzuspielen. Und wir wissen aus Erfahrung, dass nur wenige Unternehmen die Redmine einsetzen die Zeit oder notwendigen Ressourcen haben ständig nach Updates Ausschau zu halten. Da es wichtig ist ein Projektmanagement-System wie Redmine immer Up-to-date zu halten bieten wir einen Update-Service für unsere Kunden (und solche die es werden wollen) an. Dann gibt man Angreifern erst gar nicht die Möglichkeit Sicherheitslücken auszunutzen.
Denkt drüber nach. Wenn ihr eure Redmine-Instanz von uns pflegen lassen wollt, gebt uns Bescheid. Alternativ könnt ihr aber auch unseren Server Monitoring Dienst nutzen und die Updates selbst durchführen. Der Monitoring-Dienst überwacht nicht nur die Verfügbarkeit eines Redmine-Systems (ob es noch läuft oder nicht), sondern liefert vor allem Analysemöglichkeiten die dafür sorgen, dass der Total-Ausfall verhindert werden kann und Systemangriffe frühzeitig erkannt werden.
