W dniu 12.X.2022 Zimbra wydała nowe łatki do swoich sztandarowych produktów Zimbra 9.0.0 oraz Zimbra 8.8.15, z numerkami odpowiednio Patch27 i Patch34.
Najważniejsze zmiany dla Zimbry 9.0.0 Patch 27
| Opis | CVE-ID | Punktacja CVSS | Klasyfikacja Zimbry |
Opis |
|---|---|---|---|---|
| Atakujący może wykorzystać pakiet cpio w celu uzyskania nieautoryzowanego dostępu do kont. Zalecana procedura to instalacja pakietu pax | CVE-2022-41352 | 9.8 | Major | 9.0.0 P27 |
| Konfiguracja sudo dla zimbry pozwala na wywołanie komendy zmslapd jako root z dowolnymi parametrami | CVE-2022-37393 | 7.8 | Medium | 9.0.0 P27 |
| Podatność XSS poprzez atrybut IMG, która może doprowadzić do uzyskania informacji | CVE-2022-41348 | TBD | Medium | 9.0.0 P27 |
Szczególnie należy zwrócić uwagę na podatność CVE-2022-41352 i jak najszybciej wprowadzić poprawkę (Szybkie załatanie tej dziury opisujemy tutaj)
Z nowości warto zwrócić uwagę na zmianę w Outlook Connectorze, która pozwala na instalację connectora użytkownikom w domenie AD poprzez GPO.
Dodatkowo, w kliencie ModernUI zmieniono dostęp do aktówki, która teraz jest dostępna po jednym clicku. Oprócz tego mamy sporo poprawek, szczegółowo opisane na stronie z ReleaseNotesami (linki poniżej).
Najważniejsze zmiany dla Zimbry 8.8.15 Patch 34
Poprawki bezpieczeństwa:
| Opis | CVE-ID | Punktacja CVSS |
Klasyfikacja Zimbry |
|---|---|---|---|
| Atakujący może wykorzystać pakiet cpio w celu uzyskania nieautoryzowanego dostępu do kont. Zalecana procedura to instalacja pakietu pax | 9.8 | Major | |
| Konfiguracja sudo dla zimbry pozwala na wywołanie komendy zmslapd jako root z dowolnymi parametrami | 7.8 | Medium | |
| Podatność XSS poprzez atrybut w komponencie do wyszukiwania | TBD | Medium | |
| Podatność XSS poprzez atrybut w komponencie do wyszukiwania | TBD | Medium | |
| Podatność XSS poprzez atrybut w komponencie do wyszukiwania | TBD | Medium |
Szczególnie należy zwrócić uwagę na podatność CVE-2022-41352 i jak najszybciej wprowadzić poprawkę. (Szybkie załatanie tej dziury opisujemy tutaj)
Z nowości warto zwrócić uwagę na zmianę w Outlook Connectorze, która pozwala na instalację connectora użytkownikom w domenie AD poprzez GPO.
Oprócz tego mamy sporo poprawek, szczegółowo opisane na stronie z ReleaseNotesami (linki poniżej).