2022-1740: Zimbra Collaboration Suite: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe
Historie:
- Version 1 (2022-08-08 14:03)
- Neues Advisory
- Version 2 (2022-08-15 16:46)
- Aufgrund einer unvollständigen Behebung der Schwachstelle CVE-2022-27925, die erst mit der Schwachstelle CVE-2022-37042 als vollständig behoben gilt, bestand die Möglichkeit des Uploads beliebiger Daten, wie z. B. Webshells, ohne dass hierfür erweiterte Privilegien erforderlich gewesen wären. Nach verschiedenen Berichten ist unter Ausnutzung dieser Schwachstelle eine große Anzahl von Zimbra-Installationen kompromittiert worden. Es sollten daher Zimbra-Installationen vor den Versionen 8.8.15 P31 oder 9.0.0 P24 dringend einer Prüfung unterzogen werden.
Betroffene Software
Middleware
Office
Betroffene Plattformen
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen, Cross-Site-Request-Forgery (CSRF)-, Cross-Site-Scripting (XSS)- und Server-Side-Request-Forgery (SSRF)-Angriffe durchzuführen, beliebigen SQL-Programmcode zu injizieren und Sicherheitsvorkehrungen zu umgehen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die Cross-Site-Scripting-Schwachstellen erfordern die Interaktion eines Benutzers und können Einfluss auf andere Komponenten haben.
Der Hersteller informiert über die Schwachstellen und stellt die Versionen 8.8.15 Patch 33 und 9.0.0 Patch 26 der Zimbra Collaboration Suite als Sicherheitsupdates bereit. Die Cross-Site-Scripting-Angriffe betreffen nur Zimbra 8.8.15. Die Bewertung der in den Sicherheitshinweisen aufgeführten Schwachstellen in OpenSSL und Cyrus SASL weicht deutlich von der Bewertung der Hersteller ab.
Schwachstellen:
CVE-2022-2068
Schwachstelle in OpenSSL ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-24407
Schwachstelle in Cyrus SASL ermöglicht SQL-Injection-AngriffCVE-2022-37041
Schwachstelle in Zimbra Collaboration Suite ermöglicht Server-Side-Request-Forgery-AngriffCVE-2022-37042
Schwachstelle in Zimbra Collaboration Suite ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-37043
Schwachstelle in Zimbra Collaboration Suite ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2022-37044
Schwachstellen in Zimbra Collaboration Suite ermöglichen Cross-Site-Scripting-Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.