Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
Systèmes affectés
- Zimbra versions antérieures à 9.0.0 “Kepler” Patch 25
- Zimbra versions antérieures à 8.8.15 Patch 32
PS : L'éditeur a identifié des problèmes liés à cette mise à jour de sécurité et recommande de ne pas l'appliquer pour le moment.
Zimbra indique que les problèmes liés à la mise à jour ont été identifiés et qu'il est désormais reommandé d'installer la mise à jour.
De plus, l'éditeur indique avoir corrigé la vulnérabilité CVE-2022-30333 en utilisant le paquet 7zip à la place d'unrar. Les utilisateurs sont invités à désinstaller unrar.
Résumé
De multiples vulnérabilités ont été découvertes dans Zimbra. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Zimbra 8.8.15 P32 du 14 juin 2022 https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P32
- Bulletin de sécurité Zimbra 9.0.0 P25 du 14 juin 2022 https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P25
- Référence CVE CVE-2019-0231 https://www.cve.org/CVERecord?id=CVE-2019-0231
- Référence CVE CVE-2021-28165 https://www.cve.org/CVERecord?id=CVE-2021-28165
- Référence CVE CVE-2022-0778 https://www.cve.org/CVERecord?id=CVE-2022-0778
- Référence CVE CVE-2022-30333 https://www.cve.org/CVERecord?id=CVE-2022-30333