[Warning] Remote Code Execution in Zimbra Collaboration Suite - Workaround verfügbar

Alexander Riepl riepl at cert.at
Fri Oct 7 16:12:21 CEST 2022


Remote Code Execution in Zimbra Collaboration Suite - Workaround verfügbar

    7. Oktober 2022

    Beschreibung
    Eine kritische Schwachstelle in Zimbra Collaboration Suite erlaubt
    potentiell entfernten, unauthorisierten Angreifer:innen das Ausführen
    von beliebigem Code. Laut diversen Berichten wird diese Schwachstelle
    bereits aktiv ausgenutzt. [1]

    CVE-Nummer(n): CVE-2022-41352

    CVSS Base Score: 9.8

    Auswirkungen
    Das Ausnützen der Schwachstelle durch senden einer Email mit speziell
    präparierten Anhängen in den Formaten .cpio, .tar, .rpm kann zu einer
    vollständigen Kompromittierung des Systems führen.

    Betroffene Systeme

    Alle Installationen der Zimbra Collaboration Suite die eine verwundbare
    Version des Archivierungsprogrammes cpio einsetzen. Dies betrifft
    standardmäßig alle Installationen, bei denen nicht nachträglich manuell
    das Archivierungsprogramm pax installiert wurde.

    Abhilfe
    Bis zur Bereitstellung eines Updates empfiehlt Zimbra die Installation
    von pax, welches eine in dieser Situation sichere Alternative zu cpio
    darstellt.

    Hinweis
    Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
    dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
    Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

    Informationsquelle(n):
    Rapid7 (Englisch)

    [1] https://www.rapid7.com/blog/post/2022/10/06/exploitation-of-unpatch
    ed-zero-day-remote-code-execution-vulnerability-in-zimbra-collaboration
    -suite-cve-2022-41352/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20221007/f027185e/attachment.sig>


More information about the Warning mailing list