Logo NCSC
NCSC | Beveiligingsadviezen

Beveiligingsadviezen

Download

Beveilingsadvies; NCSC-2022-0613

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid gevonden in Zimbra Collaboration
Advisory ID     : NCSC-2022-0613
Versie          : 1.00
Kans            : high
CVE ID          : CVE-2022-41352
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Manipulatie van gegevens
                  Omzeilen van authenticatie
                  (Remote) code execution (Administrator/Root rechten)
Uitgiftedatum   : 20220930
Toepassing      : Zimbra Collaboration
Versie(s)       : < 8.8.15 patch 33
                  < 9.0.0 patch 26
Platform(s)     : Canonical Ubuntu Linux
                  CentOS CentOS
                  Red Hat Enterprise Linux

Beschrijving
   Er is een kwetsbaarheid verholpen in Zimbra Collaboration Suite
   (ZCS). De kwetsbaarheid stelt een kwaadwillende in staat aanvallen
   uit te voeren die leiden tot de volgende categorieën schade:

   * Manipulatie van gegevens
   * Omzeilen van authenticatie
   * (Remote) code execution (Administrator/Root rechten)

   De kwetsbaarheid is alleen te misbruiken wanneer Zimbra amavisd (een
   anti-spam filter) gebruik maakt van cpio. Wanneer dit het geval is
   dan wordt een malafide bijlage uit een email uitgevoerd in een
   folder op het systeem. Een ongeauthenticeerde kwaadwillende kan op
   deze manier bestanden aanmaken en manipuleren op de Zimbra Server en
   ook in de webroot. Hiervoor is er geen interactie van de gebruiker
   nodig.

Mogelijke oplossingen
   Zimbra heeft nog geen updates uitgebracht om de kwetsbaarheid te
   verhelpen. Wel adviseert Zimbra om de pax package te installeren om
   de kwetsbaarheid te mitigeren. Wanneer de Zimbra server over pax kan
   beschikken zal het pax gebruiken in plaats van cpio. Daarnaast geeft
   Zimbra aan dat bij de eerstvolgende patch het gebruik van de pax
   package verplicht wordt gemaakt.

   Zimbra geeft aan dat de meeste installaties op Ubuntu waarschijnlijk
   niet kwetsbaar zijn omdat Ubuntu standaard gebruik maakt van pax.
   Voor CentOS wordt wel aangeraden om zo snel mogelijk pax te
   installeren en Zimbra te herstarten zodat het systeem niet langer
   kwetsbaar is. Mogelijk zijn er meer distributies waarbij pax niet
   standaard geinstalleerd is. Het is aan te raden om na te gaan of op
   uw Zimbra installatie pax geinstalleerd is en anders de aanbevolen
   mitigerende maatregelen te treffen.

   Voor meer informatie, zie onderstaande pagina's:

   https://blog.zimbra.com/2022/09
      /security-update-make-sure-to-install-pax-spax/
   https://forums.zimbra.org/viewtopic.php?t=71153&p=306532
   https://wiki.zimbra.com/wiki/Security_Center

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=binO
-----END PGP SIGNATURE-----