Groupware Zimbra: Updates stopfen mehrere Sicherheitslecks
In der Groupware Zimbra beheben die Entwickler mehrere sicherheitsrelevante Fehler. Angreifer könnten die Instanz kompromittieren oder ihre Rechte ausweiten.
(Bild: Michael Traitov/Shutterstock.com)
Zimbra dichtet in neuen Softwareversionen mehrere Sicherheitslücken ab, durch die Angreifer das System kompromittieren oder etwa ihre Rechte auf root ausweiten könnten. Mindestens eine der Sicherheitslücken wird bereits von Cyberkriminellen angegriffen.
In der Zimbra Collaboration Suite (ZCS) 9.0.0 Patch 27 sowie in ZCS 8.8.15 Patch 34 schließen die Entwickler die Schwachstelle, die eine fehlende pax-Installation aufreißt und Angreifern die vollständige Kompromittierung durch einen unsicheren Fallback auf cpio beim Malware-Scan mit Amavis ermöglicht (CVE-2022-41352, CVSS 9.8, Risiko "kritisch"). Beide Versionen dichten zudem ein Leck, durch das Angreifer durch Einschmuggeln von übergebenen Parametern an die zmslapd-Binärdatei Code als root-Nutzer ausführen könnten (CVE-2022-37393, CVSS 7.8, hoch).
Ungeklärtes Risiko
ZCS 9.0.0 Patch 27 behebt eine Cross-Site-Scripting-Lücke (XSS) in einem IMG-Element, durch die sensible Informationen abfließen könnten (CVE-2022-41348, noch kein CVSS-Wert, Einstufung durch Zimbra als mittleres Risiko). In Versionen vor ZCS 8.8.15 Patch 34 finden sich drei andere Cross-Site-Scripting-Schwachstellen, aufgrund derer ebenfalls Informationen in unbefugte Hände geraten können. Jeweils in der Such-, Compose- und Kalender-Komponente von Webmail (CVE-2022-41350, CVE-2022-41349, CVE-2022-41351, kein CVSS, EInstufung von Zimbra als mittel).
Die aktualisierten Pakete stehen auf der Download-Seite von Zimbra bereit. IT-Verantwortliche mit Zimbra-Instanzen sollten die verfügbaren Aktualisierungen zügig installieren, da mindestens eine der Schwachstellen bereits angegriffen wird.
(dmk)
