Data 2022/10/07
Eragindako baliabideak:
- Zimbra Collaboration Suite (ZCS), Linux banaketako 8.8.15 eta 9.0 bertsioak:
- Oracle Linux 8,
- Red Hat Enterprise Linux 8,
- Rocky Linux 8,
- CentOS 8.
- Oracle Linux 8,
Azalpena:
Rapid7k Zimbra Collaboration Suite-ren (ZCS) kodearen urruneko exekuzioaren (RCE) 0day kalteberatasunaren berri eman du. Kalteberatasun hori sarrerako mezu elektronikoak aztertzeko erabiltzen den cpio utilitatearen erabilera ez-seguruak eragiten du, bereziki, Zimbra-ren antibirusaren (Amavis) motorraren erabileratik.
Konponbidea:
[2022/10/17 eguneraketa] Zimbra-k ZCSren 9.0.0 P27 bertsioa argitaratu du kalteberatasun hori zuzentzeko.
Xehetasunak:
Erasotzaile batek fitxategi arbitrarioak igo ditzake amavisd bidez, cpio-ko kalteberatasuna aprobetxatuz, eta horrek beste edozein erabiltzaile-kontutan okerreko sarbidea eragin dezake. Cpio-k fitxategi ez-fidagarrietan modu seguruan erabiltzeko modurik ez duenez, zimbra erabiltzailea sar daitekeen fitxategi-sistemaren edozein bide-izenetan idatzi ahal izango du erasotzaileak. Kalteberatasun hori aktiboki ustiatzen ari da. CVE-2022-41352 identifikatzailea esleitu zaio kalteberatasun horri.
