Sicherheitslücke in Zimbra wird angegriffen
Eine kritische Sicherheitslücke in der Groupware Zimbra wird Berichten zufolge bereits aktiv angegriffen. Bislang gibt es nur einen Workaround, der Abhilfe schafft.
Die ungepatchte Sicherheitslücke in der Zimbra Collaboration Suite ist laut den Experten von Rapid7 auf die Methode (cpio) zurückzuführen, mit der die Antivirus-Engine von Zimbra (Amavis) eingehende E-Mails scannt. Zimbra habe einen Workaround bereitgestellt, der darin besteht, das Utility pax zu installieren und die Zimbra-Dienste neu zu starten. Unter Ubuntu sei pax bereits standardmäßig installiert ist, so dass Ubuntu-basierte Zimbra-Installationen nicht von Haus aus anfällig seien, heißt es weiter. Durch eine Umstellung der Paketierung bei CentOS hingegen sei es wahrscheinlich, dass pax dort nicht installiert sei.
Um diese Schwachstelle auszunutzen, müsse ein Angreifer eine .cpio-, .tar- oder .rpm-Datei per E-Mail an einen betroffenen Server senden, heißt es bei Rapid7. Wenn Amavis die Datei auf Malware untersucht, und pax nicht vorhanden sei, verwende es cpio, um die Datei zu extrahieren. Da cpio keinen Modus aufweise, in dem es sicher auf nicht vertrauenswürdige Dateien angewendet werden kann, kann der Angreifer in jeden Pfad des Dateisystems schreiben, auf den der Zimbra-Benutzer zugreifen könne. Eine wahrscheinliche Angriffsvariante sei es, dass der Angreifer eine Shell in das Web-Root einschleuse, um Remote-Code-Ausführung zu erlangen, obwohl es auch andere Möglichkeiten gebe.
Der Beitrag Sicherheitslücke in Zimbra wird angegriffen erschien zuerst auf Linux-Magazin.