Sicherheitsupdates Zimbra: Angreifer können Metadaten von E-Mails auslesen
Die Zimbra-Entwickler haben unter anderem mindestens eine kritische Lücke in der E-Mail- und Groupwarelösung geschlossen.
(Bild: Day Of Victory Studio/Shutterstock.com)
Admins sollten ihre Zimbra-Server aus Sicherheitsgründen auf den aktuellen Stand bringen. Updates schließen mehreren Schwachstellen. Derzeit gibt es zwar noch keine Berichte zu Attacken, die Entwickler raten aber zum zügigen Updaten.
Die Gefahren
Im Sicherheitsbereich der Zimbra-Website listen sie mehrere Sicherheitslücken auf, für die teils noch keine CVE-Kennzeichnung vergeben wurde. Eine Lücke stufen sie als "kritisch" ein und Angreifer können im Zuge einer XSS-Attacke eigenen Code ausführen. Weitere Details dazu sind zurzeit nicht bekannt.
Zu einer "kritischen" Schwachstelle (CVE-2025-25064) sind aber schon Einzelheiten veröffentlicht. An der Lücke können authentifizierte Angreifer mit speziellen Anfragen ansetzen. Weil Nutzereingaben nicht ausreichend überprüft werden, können Angreifer an dieser Stelle eigene SQL-Befehle einschleusen, um so Zugriff auf Metadaten von Mails zu bekommen.
Eine weitere bekannte Sicherheitslücke (CVE-2025-25065 "mittel") erlaubt es Angreifern, Serververbindungen umzubiegen.
Videos by heise
Patches verfügbar
Um Systeme gegen die Attacken zu schützen, müssen Admins die abgesicherten Versionen 9.0.0 Patch 44, 10.0.13 oder 10.1.5 installieren.
(des)
