Hallo,
Vielen Dank für die Fixes.
Ich möchte an dieser Stelle anregen, dass das Projekt seine Kommunikation was Security angeht überdenkt und professionalisiert.
Wenn ich das korrekt nachvollziehe, handelt es sich um schwere Sicherheitslücken, die in der neuen API des WebUI geschlossen wurden (Übernahme von (Admin-)Sessions, Zugriff auf Dateien u.ä.).
Auch wenn es sich bei der 7.2 derzeit um eine Testversion handelt, sollte hier eine deutliche Aufforderung von Projektseite erfolgen, schnellstmöglich zu aktualisieren.
Eine kleine Ankündigung mit den Worten „mit ein paar Sicherheitsfixs“ in einem nahezu unleserlichen, mehr als ein Jahr andauernden Thread mit tausenden Postings wird dem Vorfall IMHO nicht gerecht. Ein klar definierter Weg, wie man als Nutzer wichtige Informationen zu Sicherheitvorfällen und -lücken erhält, ohne in einem Chaos wie diesem Thread zufällg draufzustoßen, wäre mehr als wünschenswert.
Darüber hinaus wäre es möglicherweise angebracht, wie bei anderen FOSS Projekten üblich, eine Security Kontaktmöglichkeit deutlich zu announcen. Das sollte in jedem Repository, das in der Github Organisation „linuxmuster“ gehostet wird (egal ob „supported“ oder nicht), hier im Forum und auf der HP leicht auffindbar sein. Ich beobachte z.B. bei meinen Informatik Leistungskursen, dass die Kompetenz der SchülerInnen in den vergangenen Jahren deutlich zugenommen hat, es ist also zu erwarten, dass solche Situationen häufiger werden.
VG
Frank