2022-1740: Zimbra Collaboration Suite: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2022-08-08 14:03)

Neues Advisory

Version 2 (2022-08-15 16:46)

Aufgrund einer unvollständigen Behebung der Schwachstelle CVE-2022-27925, die erst mit der Schwachstelle CVE-2022-37042 als vollständig behoben gilt, bestand die Möglichkeit des Uploads beliebiger Daten, wie z. B. Webshells, ohne dass hierfür erweiterte Privilegien erforderlich gewesen wären. Nach verschiedenen Berichten ist unter Ausnutzung dieser Schwachstelle eine große Anzahl von Zimbra-Installationen kompromittiert worden. Es sollten daher Zimbra-Installationen vor den Versionen 8.8.15 P31 oder 9.0.0 P24 dringend einer Prüfung unterzogen werden.

Betroffene Software

Middleware
Office

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen, Cross-Site-Request-Forgery (CSRF)-, Cross-Site-Scripting (XSS)- und Server-Side-Request-Forgery (SSRF)-Angriffe durchzuführen, beliebigen SQL-Programmcode zu injizieren und Sicherheitsvorkehrungen zu umgehen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die Cross-Site-Scripting-Schwachstellen erfordern die Interaktion eines Benutzers und können Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt die Versionen 8.8.15 Patch 33 und 9.0.0 Patch 26 der Zimbra Collaboration Suite als Sicherheitsupdates bereit. Die Cross-Site-Scripting-Angriffe betreffen nur Zimbra 8.8.15. Die Bewertung der in den Sicherheitshinweisen aufgeführten Schwachstellen in OpenSSL und Cyrus SASL weicht deutlich von der Bewertung der Hersteller ab.

Schwachstellen:

CVE-2022-2068

Schwachstelle in OpenSSL ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-24407

Schwachstelle in Cyrus SASL ermöglicht SQL-Injection-Angriff

CVE-2022-37041

Schwachstelle in Zimbra Collaboration Suite ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2022-37042

Schwachstelle in Zimbra Collaboration Suite ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-37043

Schwachstelle in Zimbra Collaboration Suite ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-37044

Schwachstellen in Zimbra Collaboration Suite ermöglichen Cross-Site-Scripting-Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.