-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheid gevonden in Zimbra Collaboration
Advisory ID : NCSC-2022-0613
Versie : 1.00
Kans : high
CVE ID : CVE-2022-41352
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Manipulatie van gegevens
Omzeilen van authenticatie
(Remote) code execution (Administrator/Root rechten)
Uitgiftedatum : 20220930
Toepassing : Zimbra Collaboration
Versie(s) : < 8.8.15 patch 33
< 9.0.0 patch 26
Platform(s) : Canonical Ubuntu Linux
CentOS CentOS
Red Hat Enterprise Linux
Beschrijving
Er is een kwetsbaarheid verholpen in Zimbra Collaboration Suite
(ZCS). De kwetsbaarheid stelt een kwaadwillende in staat aanvallen
uit te voeren die leiden tot de volgende categorieën schade:
* Manipulatie van gegevens
* Omzeilen van authenticatie
* (Remote) code execution (Administrator/Root rechten)
De kwetsbaarheid is alleen te misbruiken wanneer Zimbra amavisd (een
anti-spam filter) gebruik maakt van cpio. Wanneer dit het geval is
dan wordt een malafide bijlage uit een email uitgevoerd in een
folder op het systeem. Een ongeauthenticeerde kwaadwillende kan op
deze manier bestanden aanmaken en manipuleren op de Zimbra Server en
ook in de webroot. Hiervoor is er geen interactie van de gebruiker
nodig.
Mogelijke oplossingen
Zimbra heeft nog geen updates uitgebracht om de kwetsbaarheid te
verhelpen. Wel adviseert Zimbra om de pax package te installeren om
de kwetsbaarheid te mitigeren. Wanneer de Zimbra server over pax kan
beschikken zal het pax gebruiken in plaats van cpio. Daarnaast geeft
Zimbra aan dat bij de eerstvolgende patch het gebruik van de pax
package verplicht wordt gemaakt.
Zimbra geeft aan dat de meeste installaties op Ubuntu waarschijnlijk
niet kwetsbaar zijn omdat Ubuntu standaard gebruik maakt van pax.
Voor CentOS wordt wel aangeraden om zo snel mogelijk pax te
installeren en Zimbra te herstarten zodat het systeem niet langer
kwetsbaar is. Mogelijk zijn er meer distributies waarbij pax niet
standaard geinstalleerd is. Het is aan te raden om na te gaan of op
uw Zimbra installatie pax geinstalleerd is en anders de aanbevolen
mitigerende maatregelen te treffen.
Voor meer informatie, zie onderstaande pagina's:
https://blog.zimbra.com/2022/09
/security-update-make-sure-to-install-pax-spax/
https://forums.zimbra.org/viewtopic.php?t=71153&p=306532
https://wiki.zimbra.com/wiki/Security_Center
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=binO
-----END PGP SIGNATURE-----
