RT 4.4.8版本发布：关键安全更新与功能改进

项目简介

RT（Request Tracker）是一个开源的问题跟踪系统，由Best Practical Solutions开发维护。作为企业级工单管理系统，RT广泛应用于IT服务管理、客户支持和技术支持等领域。该系统以其灵活性、可扩展性和强大的工作流功能著称，能够帮助团队高效地跟踪和管理各种请求与问题。

安全更新

本次发布的RT 4.4.8版本主要包含两个重要的安全修复，进一步提升了系统的安全性。

跨站脚本(XSS)问题修复

RT 4.4系列被发现存在一个跨站脚本问题，攻击者可以通过构造特殊的搜索URL参数注入恶意脚本。这种攻击可能导致用户会话被获取、信息泄露或其他不当操作。该问题已被分配CVE编号CVE-2025-30087。

技术团队已经修复了这个问题，确保所有用户输入在显示前都经过适当的转义处理。对于系统管理员来说，及时升级到这个版本可以有效防范此类攻击。

SMIME加密算法升级

另一个安全改进涉及SMIME邮件加密功能。RT 4.4之前版本默认使用3DES（des3）算法进行SMIME邮件加密，这是一种已经被认为不够安全的加密算法。现代安全实践推荐使用更强大的加密标准。

在RT 4.4.8中，开发团队做出了以下改进：

1. 将默认加密算法升级为aes-128-cbc，提供更强的安全性
2. 新增配置选项，允许管理员根据实际需求选择其他加密算法
3. 保留了回退到des3的选项，确保与旧系统的兼容性

这个改进对应的CVE编号为CVE-2025-2545。对于处理重要邮件的组织，这一改进尤为重要。

功能改进

除了安全更新外，RT 4.4.8还包含了一些实用的功能改进：

会话清理工具增强

rt-clean-sessions工具新增了"all"选项，允许管理员一次性清理所有会话。这在系统维护或安全事件响应时特别有用，可以快速终止所有活跃会话。

测试套件更新

随着GPG 2.4及以上版本的发布，其警告消息格式发生了变化。RT 4.4.8更新了相关测试用例，确保测试套件能够兼容新版GPG的输出。

依赖项清理

开发团队移除了对DBIx::SearchBuilder的不必要且过时的版本要求，简化了依赖管理，使安装过程更加顺畅。

升级建议

RT 4.4.8是一个维护版本，重点解决了安全问题和进行了小规模改进。对于当前使用RT 4.4.x系列的用户，建议尽快安排升级，特别是那些暴露在公网或有高安全要求的部署环境。

需要注意的是，随着RT 6.0.0的即将发布，RT 4.4系列将很快到达生命周期终点。长期用户应考虑制定升级到RT 5或RT 6的计划，以继续获得安全更新和新功能支持。

升级前建议：

1. 全面备份现有系统和数据库
2. 在测试环境验证升级过程
3. 检查自定义扩展与新版RT的兼容性
4. 查看变更日志了解可能影响工作流的修改

RT持续为企业提供可靠的工单管理解决方案，这次更新再次体现了开发团队对安全性和稳定性的承诺。