DFN-CERT

Advisory-Archiv

2018-0909: Zimbra Collaboration Suite: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Request-Forgery-Angriff

Historie:

Version 1 (2018-05-15 16:41)
Neues Advisory

Betroffene Software

Middleware
Office

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, einfach sowie auch nicht authentisierten Angreifer das Ausspähen von Informationen, einen Cross-Site-Request-Forgery (CSRF)-Angriff und verschiedene Cross-Site-Scripting (XSS)-Angriffe.

Der Hersteller informiert über die Existenz der Schwachstellen und über Zimbra Collaboration 8.8.8 Patch 1 GA Release, 8.7.11 Patch 3 GA Release und 8.6.0 Patch 10 GA Release als Sicherheitsupdates. Das 8.8.8 Patch 1 GA Release behebt die Schwachstelle CVE-2015-7610, während die anderen Schwachstellen in diesem Versionszweig überwiegend bereits mit dem Release 8.8.8 adressiert werden. Die Schwachstellen CVE-2018-10948, CVE-2018-10949, CVE-2018-10950 und CVE-2018-10951 werden mit dem Zimbra Collaboration 8.7.11 Patch 3 GA Release behoben, während CVE-2015-7610 bereits mit 8.7.11 Patch 2, CVE-2018-6882 mit 8.7.11 Patch 1 und CVE-2016-9924 mit der Version 8.7.4 als behoben gelistet sind. Für das 8.6.0 Patch 10 GA Release werden die Schwachstellen CVE-2018-10949 und CVE-2018-10950 nicht genannt.

Schwachstellen:

CVE-2015-7610

Schwachstelle in Zimbra Collaboration Suite ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2016-9924

Schwachstelle in Zimbra Collaboration Suite ermöglicht XML External Entity-Angriff

CVE-2018-10948

Schwachstelle in Zimbra Collaboration Suite ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-10949

Schwachstelle in Zimbra Collaboration Suite ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-10950

Schwachstelle in Zimbra Collaboration Suite ermöglicht Ausspähen von Informationen

CVE-2018-10951

Schwachstelle in Zimbra Collaboration Suite ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-6882

Schwachstelle in Zimbra Collaboration Suite ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.