Kurz vor Jahresende: Postfix-Schwachstelle betrifft auch Zimbra
Infrastruktur von Katharina Weidlich
Kurz vor dem Jahresende hat uns Zimbra über eine kritische Sicherheitslücke informiert.
Die Sicherheitslücke steht im Wesentlichen im Zusammenhang mit einer Lücke in Postfix, auch bekannt als „SMTP Smuggling attack“. Da Zimbra Postfix als MTA (Mail Transfer Agent) nutzt, sind Zimbra-Installationen ebenfalls von der Lücke betroffen.
Zimbra arbeitet bereits an einem Patch, um die Schwachstelle nachhaltig zu schließen. Dieser soll zeitnah veröffentlicht werden.
Nachtrag 15.01.2024: Es gibt ein Update von Postfix, welches Zimbra zur Verfügung steht, jedoch keins von Zimbra. Dies bedeutet, dass das SMTP-Message-Pipelining im Postfix von Zimbra weiterhin ungepatcht ist.
Glücklicherweise gibt es einen temporären Workaround für das SMTP-Command-Pipelining, den wir bereits auf allen eigenen und auch auf den von uns betreuten Kundensystemen mit Wartungsvertrag ausrollen konnten. Alle anderen von uns betreuten Setups wurden bereits über die Lücke informiert. Damit haben wir innerhalb weniger Stunden diese kritische Schwachstelle zunächst schließen können. Sobald uns die neue Zimbra-Version vorliegt, werden wir umgehend den Patch entsprechend einspielen.
Sollten Sie Fragen zu dieser Schwachstelle haben, oder auch Interesse an einem Wartungsvertrag für Ihr Zimbra System haben, kontaktieren Sie uns gerne.