-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid gevonden in Zimbra Collaboration Advisory ID : NCSC-2022-0613 Versie : 1.00 Kans : high CVE ID : CVE-2022-41352 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Manipulatie van gegevens Omzeilen van authenticatie (Remote) code execution (Administrator/Root rechten) Uitgiftedatum : 20220930 Toepassing : Zimbra Collaboration Versie(s) : < 8.8.15 patch 33 < 9.0.0 patch 26 Platform(s) : Canonical Ubuntu Linux CentOS CentOS Red Hat Enterprise Linux Beschrijving Er is een kwetsbaarheid verholpen in Zimbra Collaboration Suite (ZCS). De kwetsbaarheid stelt een kwaadwillende in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade: * Manipulatie van gegevens * Omzeilen van authenticatie * (Remote) code execution (Administrator/Root rechten) De kwetsbaarheid is alleen te misbruiken wanneer Zimbra amavisd (een anti-spam filter) gebruik maakt van cpio. Wanneer dit het geval is dan wordt een malafide bijlage uit een email uitgevoerd in een folder op het systeem. Een ongeauthenticeerde kwaadwillende kan op deze manier bestanden aanmaken en manipuleren op de Zimbra Server en ook in de webroot. Hiervoor is er geen interactie van de gebruiker nodig. Mogelijke oplossingen Zimbra heeft nog geen updates uitgebracht om de kwetsbaarheid te verhelpen. Wel adviseert Zimbra om de pax package te installeren om de kwetsbaarheid te mitigeren. Wanneer de Zimbra server over pax kan beschikken zal het pax gebruiken in plaats van cpio. Daarnaast geeft Zimbra aan dat bij de eerstvolgende patch het gebruik van de pax package verplicht wordt gemaakt. Zimbra geeft aan dat de meeste installaties op Ubuntu waarschijnlijk niet kwetsbaar zijn omdat Ubuntu standaard gebruik maakt van pax. Voor CentOS wordt wel aangeraden om zo snel mogelijk pax te installeren en Zimbra te herstarten zodat het systeem niet langer kwetsbaar is. Mogelijk zijn er meer distributies waarbij pax niet standaard geinstalleerd is. Het is aan te raden om na te gaan of op uw Zimbra installatie pax geinstalleerd is en anders de aanbevolen mitigerende maatregelen te treffen. Voor meer informatie, zie onderstaande pagina's: https://blog.zimbra.com/2022/09 /security-update-make-sure-to-install-pax-spax/ https://forums.zimbra.org/viewtopic.php?t=71153&p=306532 https://wiki.zimbra.com/wiki/Security_Center Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYzbe6hypWqw/ZiuAAQosRAwAk+Yf8qJF/dVp/VT8PLW6V12arwV9kROy yo0jss4a+zLAsm7SOio3yX0h0389Vop+eEMVWFSdxf8UaiM/aGL5/xM1Abn9DpII mTy+8nznmNoO3LnavCsPgJ4HLPMcZWjBWeculmrwAqJ2akKLK2rrzmQ8Nd+j8/sA wchb8F53cS+eGwKndnq2LnpzeGdjfyvpsfjqFY6DrJg2yjRCuaU1AuTxbICW2ohu Pxtmwoj0hjX6XPSHV6g3Kq+sPWNYHkJXBCdEuyqq6X+ejmUl40QN7NQV6vapePiC MkKf5eq6FJjaTrUKTjkVGtJr6Ju3Nws4JKhoOEWKc3xk7txBs0I5Rd+tImYdJrHl oGl+UB6CF7/e9eB5BhTWgt46ybPgQlBcOnLphvzkN5LY9xn+ZZ+LAEO3O8oQ1hyL gnpJRozH+aFWW5AFTYorqmgPBvS90IAxZxFnF3G031gvJhXc9H4+PMSAUuaz4Hhh ZPWSw8ktBGbfzwzwAYUIi/V6mblEhJR9 =binO -----END PGP SIGNATURE-----