Neues aus der IT-Welt

Die Entwickler der Groupware Zimbra haben aktualisierte Softwarepakete veröffentlicht. Sie schließen gleich mehrere Sicherheitslücken. IT-Verantwortliche sollten die Updates zügig anwenden.

Die Changelogs zu den nun verfügbaren Versionen 10.0.18 und 10.1.13 weisen eine größere Zahl an Sicherheitslücken aus, die darin geschlossen wurden. Für Version 10.0.18 sind das:

• AntiSamy auf Version 1.7.8 aktualisiert und Stored-Cross-Site-Scripting-Lücke entfernt
• Pfadprüfung in die ExportAndDeleteItemsRequest API eingeführt, um unsichere Dateiexporte zu verhindern
• Ein CSRF-Enforcement-Problem in bestimmten Authentifizierungs-Flüssen angegangen
• Lokale File-Inclusion-Schwachstelle ohne vorherige Authentifizierung in RestFilter gelöst
• Nginx-Modul aktualsiiert, um Sicherheitsstandards und Compliance zu folgen

Version 10.1.13 stopft noch mehr Sicherheitslücken, zusätzlich zu den vorgenannten:

• Hartkodierte Flickr-API-Zugangsdaten vom Flickr-Zimlet entfernt und diese zurückgezogen
• Stored Cross-Site-Scripting-Lücke im Zimbra Mail-Client für E-MAils mit PDF-Anhängen korrigiert
• Eingabe- und "null"-Prüfungen im PreAuthServlet ergänzt, um Preisgabe interner Fehler durch fehlformatierte Anfragen zu verhindern
• Ein Admin-Konto-Auflistungsproblem gelöst
• Apache HttpClient-Bibliothek auf Version 4.5.14 aktualisiert

Genaue Details zu den geschlossenen Sicherheitslücken und die Schwachstelleneinträge (CVE) nennen die Entwickler bislang nicht. Allerdings sind Schwachstellen in Zimbra oftmals Ziel von Angriffen Cyberkrimineller – auch, weil einige Regierungseinrichtungen etwa in der EU mit der Groupware Zimbra arbeiten.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) schätzt den Schweregrad der Schwachstellen jedoch bis hinauf zum CVSS-Wert 9.8, also Risiko "kritisch" ein. Die Analysten gehen davon aus, daß Angreifer durch die Sicherheitslücken unter anderem auch beliebigen Schadcode ausführen und Sicherheitsmaßnahmen umgehen können.