Haavoittuvuus15/2022CVSS 9.8CVE-2022-41352 (Ulkoinen linkki)
Zimbra Collaboration Suite -tuottavuusohjelmistossa on havaittu haavoittuvuus, joka mahdollistaa mielivaltaisen koodin suorittamisen isäntäpalvelimella. Haavoittuvuutta käytetään aktiivisesti hyväksi, mutta sen väliaikaiseen korjaamiseen on jo keinoja. Kyseessä on nollapäivähaavoittuvuus, eikä varsinaista korjaavaa päivitystä ole vielä saatavilla. Ubuntu-järjestelmät eivät lähtökohtaisesti ole haavoittuvia.
Zimbra Collaboration Suite -tuottavuusohjelmiston sähköpostikomponentin versioissa 8.8.15 ja 9.0 on havaittu haavoittuvuus, joka mahdollistaa mielivaltaisen koodin suorittamisen isäntäpalvelimella. Hyökkääjä voi lähettää palvelimelle sähköpostilla haitallisen tiedoston, jonka palvelin tallentaa julkisesti saatavilla olevaan hakemistoon.
Zimbran haavoittuvuus periytyy saapuvia sähköposteja käsittelevän Amavis-osan käyttämän cpio-menetelmän haavoittuvuudesta (Ulkoinen linkki). Zimbran ohjeen (Ulkoinen linkki) mukaan väliaikainen korjaus on asentaa järjestelmään cpio:n korvaava pax-työkalu ja käynnistää Zimbra uudelleen. Zimbran saapuvien sähköpostien käsittelystä vastaava Amavis-osa osaa käyttää automaattisesti pax-työkalua cpio-työkalun sijaan, jos se on saatavilla.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Ongelman rajoittaminen
Haavoittuvuuden kohde
Zimbra Collaboration Suite (ZCS) 8.8.15 ja 9.0 asti.
- Ubuntu-järjestelmissä (18.04 eteenpäin) on pax asennettu oletuksena, tällaiset järjestelmät eivät ole haavoittuvia.
Mistä on kysymys?
Asenna pax-työkalu järjestelmään ja käynnistä Zimbra uudelleen ohjeiden mukaan (Ulkoinen linkki) (ulkoinen linkki).
Mitä voin tehdä?
Rapid7:n raportti haavoittuvuudesta (Ulkoinen linkki) (ulkoinen linkki)
NVD:n yhteenveto haavoittuvuudesta (Ulkoinen linkki) (ulkoinen linkki)
PoC haavan hyväksikäytöstä (Ulkoinen linkki) (ulkoinen linkki)