Release-Datum: 20. März 2026
| Über unsere API-Schnittstellen konnten in bestimmten Fällen sensible Konfigurations- und Verbindungsdaten (z. B. POP3-/IMAP-/SMTP-Zugangsdaten, OAuth-Informationen sowie Synchronisations- und Messenger-Konfigurationen) fälschlicherweise im Klartext abgerufen werden – allerdings war der Zugriff ausschließlich mit gültigen GREYHOUND Zugangsdaten möglich; ein Zugriff durch außenstehende Dritte ohne entsprechenden Systemzugang war zu jedem Zeitpunkt ausgeschlossen. Betroffen waren: E-Mail-Konten (POP3/IMAP, SMTP), Synchronisationsdienste (DAV, Google, iCloud) für Kontakte und Kalender, Messenger-Anbindungen (z. B. WhatsApp, Facebook, Instagram, Telegram, Signal, Threema, Twitter) und Webchat-Integrationen. Zusätzlich bestand für Administratoren mit entsprechenden Berechtigungen die Möglichkeit, von Benutzern selbst erstellte API-Tokens einzusehen. Passwörter von GREYHOUND Benutzern waren zu keinem Zeitpunkt auslesbar. Die Ausgabe dieser Daten über die API wurde vollständig überarbeitet, sodass sensible Informationen nicht mehr bereitgestellt werden. Bitte beachte, dass im Client Passwörter nun nicht mehr mit ****** sichtbar sind, selbst dann nicht, wenn welche hinterlegt sind. Passwort-Felder sehen also womöglich leer aus, sind es aber nicht. Wichtig: Ein Zugriff war ausschließlich mit gültigen GREYHOUND Zugangsdaten möglich; ein Zugriff durch außenstehende Dritte ohne entsprechenden Systemzugang war ausgeschlossen. Aktuell liegen uns keine Hinweise auf einen Missbrauch oder unbefugten Zugriff vor. Auch wenn wir das Risiko derzeit als gering einschätzen, empfehlen wir vorsorglich, die Passwörter für alle der oben genannten, in GREYHOUND genutzten Systeme, zu erneuern. Dennoch nehmen wir den Vorfall sehr ernst und haben entsprechende Maßnahmen umgesetzt. (#GBA-69) |
|
| Die Update-Routine wurde angepasst, um eine verbesserte Kompatibilität mit älteren MariaDB-Versionen sicherzustellen. (#GBA-70) | |
| Protokollierung des Update-Fortschritts (Update auf Version 5.6 oder höher): Beim Update von Version 5.5 auf 5.6 oder höher wird der Fortschritt der Datenbankkonvertierung nun detailliert in einer Log-Datei protokolliert, um eine bessere Nachvollziehbarkeit der Update-Dauer zu ermöglichen. (#GBA-70) |
| Webchat-Konfigurator vorübergehend nicht nutzbar: Aufgrund der sicherheitsbedingten Anpassung werden API-Schlüssel nicht mehr über die API ausgegeben. Dadurch kann der für den Webchat-Konfigurator benötigte API-Key aktuell nicht mehr angezeigt werden. Der Webchat-Konfigurator ist daher derzeit nicht nutzbar. Eine Lösung hierfür wird in einem kommenden Update bereitgestellt. |
| Für Nutzer von XRechnung werden nun XML-Dateien in JTL-Archive abgelegt. (#WAWI-87586) |