Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance

Systèmes affectés

  • Zimbra versions antérieures à 9.0.0 “Kepler” Patch 25
  • Zimbra versions antérieures à 8.8.15 Patch 32

PS : L'éditeur a identifié des problèmes liés à cette mise à jour de sécurité et recommande de ne pas l'appliquer pour le moment.

Zimbra indique que les problèmes liés à la mise à jour ont été identifiés et qu'il est désormais reommandé d'installer la mise à jour.

De plus, l'éditeur indique avoir corrigé la vulnérabilité CVE-2022-30333 en utilisant le paquet 7zip à la place d'unrar. Les utilisateurs sont invités à désinstaller unrar.

Résumé

De multiples vulnérabilités ont été découvertes dans Zimbra. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation