Podatność CVE-2022-41352 została oznaczona jako „Major” a w skali CVSS otrzymała 9.8 punktów. Dlatego tak ważne jest uaktualnienie Zimbry do wersji 9.0.0 Patch27 lub 8.8.15 Patch 34.
Podatność polega na błędnym użyciu przez Amavisa narzędzia cpio, co pozwala atakującemu na stworzenie i nadpisanie plików na serwerze Zimbra. Moduł cpio jest wykorzystywany przez Amavisa w przypadku braku pakietu pax.
Dlatego, ważne aby wszyscy administratorzy Zimbra upewnili się, że mają zainstalowany pakiet pax. Jeżeli nie to należy wykonać następujące działania:
Ubuntu
apt install pax
CentOS 7 i dystrybucje pochodne
yum install pax
CentOS 8 i dystrybucje pochodne
dnf install spax
Po instalacji pakietu należy zrestartować Zimbrę:
sudo su - zimbra
zmcontrol restart
Po zainstalowaniu pakietu i restacie Zimbry, podatność CVE-2022-41352 nie jest już dostępna.