Hardware & Software Alert! Groupware Zimbra: Updates stopfen mehrere Sicherheitslecks

Zimbra dichtet in neuen Softwareversionen mehrere Sicherheitslücken ab, durch die Angreifer das System kompromittieren oder etwa ihre Rechte auf root ausweiten könnten. Mindestens

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

.

In der Zimbra Collaboration Suite (ZCS) 9.0.0 Patch 27 sowie in ZCS 8.8.15 Patch 34 schließen die Entwickler die Schwachstelle, die eine fehlende pax-Installation aufreißt und Angreifern die vollständige Kompromittierung durch einen unsicheren Fallback auf cpio beim Malware-Scan mit Amavis ermöglicht (CVE-2022-41352, CVSS 9.8, Risiko "kritisch"). Beide Versionen dichten zudem ein Leck, durch das Angreifer durch Einschmuggeln von übergebenen Parametern an die zmslapd-Binärdatei Code als root-Nutzer ausführen könnten (CVE-2022-37393, CVSS 7.8, hoch).

Ungeklärtes Risiko​

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

behebt eine Cross-Site-Scripting-Lücke (XSS) in einem IMG-Element, durch die sensible Informationen abfließen könnten (CVE-2022-41348, noch kein CVSS-Wert, Einstufung durch Zimbra als mittleres Risiko). In

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

finden sich drei andere Cross-Site-Scripting-Schwachstellen, aufgrund derer ebenfalls Informationen in unbefugte Hände geraten können. Jeweils in der Such-, Compose- und Kalender-Komponente von Webmail (CVE-2022-41350, CVE-2022-41349, CVE-2022-41351, kein CVSS, EInstufung von Zimbra als mittel).
Die aktualisierten Pakete stehen

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

bereit. IT-Verantwortliche mit Zimbra-Instanzen sollten die verfügbaren Aktualisierungen zügig installieren, da mindestens eine der Schwachstellen bereits angegriffen wird.
Quelle: heise