heise PlusAbo
Anzeige
Alert!

Groupware Zimbra: Updates stopfen mehrere Sicherheitslücken

In der Groupware Zimbra haben die Entwickler mit aktualisierten Paketen mehrere Sicherheitslücken geschlossen.

vorlesen Druckansicht
Email,Marketing,Concept,,Company,Sending,Many,E-mails,Or,Digital,Newsletter

(Bild: Shutter z/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Die Entwickler der Groupware Zimbra haben aktualisierte Softwarepakete veröffentlicht. Sie schließen gleich mehrere Sicherheitslücken. IT-Verantwortliche sollten die Updates zügig anwenden.

Die Changelogs zu den nun verfügbaren Versionen 10.0.18 und 10.1.13 weisen eine größere Zahl an Sicherheitslücken aus, die darin geschlossen wurden. Für Version 10.0.18 sind das:

  • AntiSamy auf Version 1.7.8 aktualisiert und Stored-Cross-Site-Scripting-Lücke entfernt
  • Pfadprüfung in die ExportAndDeleteItemsRequest API eingeführt, um unsichere Dateiexporte zu verhindern
  • Ein CSRF-Enforcement-Problem in bestimmten Authentifizierungs-Flüssen angegangen
  • Lokale File-Inclusion-Schwachstelle ohne vorherige Authentifizierung in RestFilter gelöst
  • Nginx-Modul aktualsiiert, um Sicherheitsstandards und Compliance zu folgen

Version 10.1.13 stopft noch mehr Sicherheitslücken, zusätzlich zu den vorgenannten:

  • Hartkodierte Flickr-API-Zugangsdaten vom Flickr-Zimlet entfernt und diese zurückgezogen
  • Stored Cross-Site-Scripting-Lücke im Zimbra Mail-Client für E-MAils mit PDF-Anhängen korrigiert
  • Eingabe- und "null"-Prüfungen im PreAuthServlet ergänzt, um Preisgabe interner Fehler durch fehlformatierte Anfragen zu verhindern
  • Ein Admin-Konto-Auflistungsproblem gelöst
  • Apache HttpClient-Bibliothek auf Version 4.5.14 aktualisiert

Detailinformationen nicht vorhanden

Genaue Details zu den geschlossenen Sicherheitslücken und die Schwachstelleneinträge (CVE) nennen die Entwickler bislang nicht. Allerdings sind Schwachstellen in Zimbra oftmals Ziel von Angriffen Cyberkrimineller – auch, weil einige Regierungseinrichtungen etwa in der EU mit der Groupware Zimbra arbeiten.

Videos by heise

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) schätzt den Schweregrad der Schwachstellen jedoch bis hinauf zum CVSS-Wert 9.8, also Risiko "kritisch" ein. Die Analysten gehen davon aus, dass Angreifer durch die Sicherheitslücken unter anderem auch beliebigen Schadcode ausführen und Sicherheitsmaßnahmen umgehen können.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten