Groupware Zimbra: Zero-Day-Lücke macht manuelles Patchen nötig
Zimbra hat einen manuell anzuwendenden Patch veröffentlicht, der eine Zero-Day-Sicherheitslücke in der Groupware schließt.
(Bild: Michael Traitov/Shutterstock.com)
Die Entwickler der Groupware Zimbra warnen vor einer Sicherheitslücke, die die Vertraulichkeit und Integrität der Nutzerdaten verletzen könnte. Die Schwachstelle wird bereits in freier Wildbahn missbraucht, es handelt sich um eine Zero-Day-Lücke. IT-Verantwortliche müssen per Hand eine Änderung im Quellcode vornehmen, um das Problem zu beheben.
In einem Blog-Beitrag schreiben die Zimbra-Entwickler, dass sie die Änderung rigoros getestet hätten, um sicherzustellen, dass die Systeme weiter effektiv und stabil liefen. Das manuelle Update soll Teil des Juli-Patch-Releases für Zimbra 8.8.15 werden.
Zimbra-Lücke wird angegriffen
Maddie Stone, die Googles Threat Analysis Group angehört, berichtet derweil auf Twitter, dass bereits Angriffe auf die Sicherheitslücke in Zimbra in freier Wildbahn beobachtet wurden. Daher sollten Zimbra-Administratoren nicht bis zu einem Patch-Release warten, sondern umgehend die kleine Modifikation selbst vornehmen. Es sei dazu kein Neustart nötig, es gebe daher keine Downtime; der Fix wird sofort wirksam.
Administratoren sollten zunächst eine Kopie der Datei /opt/zimbra/jetty/webapps/zimbra/m/momoveto anlegen. Anschließend müssen sie in Zeile 40 der Datei die Funktion fn:escapeXml ergänzen. Aus <input name="st" type="hidden" value="${param.st}"/> wird dadurch <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/> – die Entwickler pflegen also eine Filterung von übergebenen Parametern nach.
Die Groupware Zimbra kommt in zahlreichen Organisationen zum Einsatz, darunter auch bei Regierungen. Im April dieses Jahres wurden Regierungen, die dem NATO-Bündnis angehören, durch Zimbra-Schwachstellen angegriffen.
(dmk)
