Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Kriittinen haavoittuvuus Zimbra Collaboration (ZCS) -ohjelmistossa

Haavoittuvuus15/2022CVSS 9.8CVE-2022-41352 (Ulkoinen linkki)

Zimbra Collaboration Suite -tuottavuusohjelmistossa on havaittu haavoittuvuus, joka mahdollistaa mielivaltaisen koodin suorittamisen isäntäpalvelimella. Haavoittuvuutta käytetään aktiivisesti hyväksi, mutta sen väliaikaiseen korjaamiseen on jo keinoja. Kyseessä on nollapäivähaavoittuvuus, eikä varsinaista korjaavaa päivitystä ole vielä saatavilla. Ubuntu-järjestelmät eivät lähtökohtaisesti ole haavoittuvia.

Zimbra Collaboration Suite -tuottavuusohjelmiston sähköpostikomponentin versioissa 8.8.15 ja 9.0 on havaittu haavoittuvuus, joka mahdollistaa mielivaltaisen koodin suorittamisen isäntäpalvelimella. Hyökkääjä voi lähettää palvelimelle sähköpostilla haitallisen tiedoston, jonka palvelin tallentaa julkisesti saatavilla olevaan hakemistoon.

Zimbran haavoittuvuus periytyy saapuvia sähköposteja käsittelevän Amavis-osan käyttämän cpio-menetelmän haavoittuvuudesta (Ulkoinen linkki). Zimbran ohjeen (Ulkoinen linkki) mukaan väliaikainen korjaus on asentaa järjestelmään cpio:n korvaava pax-työkalu ja käynnistää Zimbra uudelleen. Zimbran saapuvien sähköpostien käsittelystä vastaava Amavis-osa osaa käyttää automaattisesti pax-työkalua cpio-työkalun sijaan, jos se on saatavilla.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä
  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

Zimbra Collaboration Suite (ZCS) 8.8.15 ja 9.0 asti.

  • Ubuntu-järjestelmissä (18.04 eteenpäin) on pax asennettu oletuksena, tällaiset järjestelmät eivät ole haavoittuvia.

Ratkaisu- ja rajoitusmahdollisuudet

Asenna pax-työkalu järjestelmään ja käynnistä Zimbra uudelleen ohjeiden mukaan (Ulkoinen linkki) (ulkoinen linkki).

Lisätietoja