ETES-Weblog

Kritische Zarafa-Schwachstelle von ETES entdeckt und behoben

Gepostet am 31. Januar 2014 von Markus Espenhain in „Produkte“ Kommentare 0

Markus Espenhain

Wie Sie vielleicht bereits unserem Security Advisory entnommen haben, haben wir eine kritsche Schwachstelle in Zarafa entdeckt. Diese ermöglicht es einem Angreifer den Zarafa-Server aus der Ferne verhältnismäßig einfach abstürzen zu lassen, sodass die Nutzung von Zarafa nicht mehr möglich ist. Natürlich haben wir als lang­jähriger Gold­partner Zarafa umgehend über unseren Fund informiert.

Da es sich bei Zarafa um Open-Source-Software handelt, konnten wir innerhalb von 42 Stunden einen Patch zur Fehler­beseitigung entwickeln und waren damit sogar schneller als die Zarafa-Entwickler selbst. Dem Open-Source-Gedanken folgend haben wir unseren Patch selbst­ver­ständ­lich an Zarafa über­mittelt. Dieser Patch ist in die gestern ver­öf­fent­li­ch­te Zarafa-Version 7.1.8 ein­ge­flos­sen.

Was bedeutet das für Sie als Kunde?

Ihr Zarafa-Server ist verwundbar, da alle ältere Versionen von der entdeckten Lücke betroffen sind. Doch wir lassen Sie natürlich nicht im Regen (oder besser gesagt ohne Mailserver) stehen, daher gilt:

Haben wir Ihr Zarafa-System installiert bzw. konfiguriert, so haben wir uns entweder bereits bei Ihnen gemeldet oder werden dies demnächst tun. Wenn Sie einen Wartungs­vertrag für Ihr System mit uns abgeschlossen haben, so ist das Update auf die neueste Zarafa-Version natürlich kostenlos. Haben Sie bei uns keinen Wartungs­vertrag, erhalten Sie stattdessen von uns ein Angebot für diese Tätigkeit. Selbstverständlich erhalten Sie dazu noch weitere Informationen von uns, damit Sie auch eine eigene Risiko­bewert­ung vornehmen können.

Wir unterstützen Sie!

Natürlich stehen wir Ihnen als erfahrener Zarafa-Partner mit Rat und Tat zur Seite, wenn wir Ihre Zarafa-Installation nicht kennen, da Sie diese beispiels­weise selbst pflegen. Zögern Sie nicht uns anzurufen oder schicken Sie uns eine E-Mail mit Ihrem Anliegen!

Sollten Sie sich nicht sicher sein, ob Ihre Zarafa-Installation vielleicht von der Schwachstelle betroffen ist und somit über das Internet missbraucht und zum Absturz gebracht werden kann, so können Sie in unserem Online-Shop einfach ein Zarafa-Supportpaket mit 15 Minuten kaufen. Teilen Sie uns dann im Kommentar­feld darunter unbedingt mit: Öffentliche IP-Adresse oder DNS-Name (z.B. 192.0.2.19 oder zarafa.firmenbezeichnung.de), öffentliche TCP-Ports (z.B. 80, 236, 237, 443) sowie die Version Ihres Zarafa-Servers (z.B. 7.1.7). Wir melden uns dann per E-Mail bei Ihnen mit dem Ergebnis der Prüfung und besprechen mit Ihnen weitere empfehlenswerte Schritte.

Tags dieses Beitrages: IT-Sicherheit, Open Source, Sicherheit, Zarafa, ZCP
Trackback-URL: https://www.etes.de/system/modules/trackback/trackback.php?id=2662

Einen Kommentar schreiben

Bitte rechnen Sie 7 plus 5.