Am 10. August 2016 wurde auf Pastebin ein Dokument veröffentlicht, welches mehrere schwere Sicherheitslücken im TeamSpeak-Server beschreibt. So z.B. soll es möglich sein, den TS-Server aus der Ferne ohne irgendwelche Authentifizierung übernehmen zu können. Es wurde auf die Lücken hingewiesen, jedoch wurden keine Exploits veröffentlicht. Laut den dortigen Informationen wurde wohl versucht, die TeamSpeak Gmbh über deren Nutzerforum zu erreichen, Hinweise auf die Fehler wurden aber dann wohl zensiert oder als harmlos dargestellt.
Q: Why not do coordinated disclosure?
A: The Teamspeak developers censor their forums and sweep vulnerabilities under the rug as "crashes". I am not comfortable with that. Furthermore I fear legal action from them.
Daraufhin hat sich der Entdecker der Sicherheitslücken offensichtlich entschlossen, das obige Dokument zu veröffentlichen. Aufgeschreckt meldeten sich nun Nutzer im entsprechenden Support-Forum. Wie man in den Beiträgen sieht, wurden auch dort Links auf die Beschreibung der Sicherheitslücken rigide zensiert.
Am 15. August 2016 wurde die TeamSpeak-Server Version 3.0.13.2 veröffentlicht. Das CHANGELOG enthält enhält nur einen minimalen Hinweis auf geschlossene Sicherheitslücken. Weitere Informationen dazu, ob bereits alle Lücken geschlossen oder überhaupt die obigen Lücken gefixt wurden, sind nicht verfügbar.
=== Server Release 3.0.13.1 15 august 2016
- fixed several vulnerabilities.
Schwach. Es bleibt zu hoffen, das sich diese Situation in Zukunft verbessert. Eine Benachrichtigungsfunktion über vorhandene Aktualisierungen wäre ein Anfang. Der Client beherrscht das bereits. Ebenfalls ist ein ausführliches Changelog Pflicht, damit ersichtlich ist, ob die bekannten Lücken bereits geschlossen wurden.