Schwachstelle in Zimbra 8.8.15 bei Nutzung des Webclients
Infrastruktur von Markus Espenhain
Heute, am 04.02.2022, wurde eine kritische Sicherheitslücke bis einschließlich Zimbra 8.8.15 P30 bekannt, die in Verbindung mit der Nutzung des Webclients in Zimbra steht. Sollten Sie Zimbra über andere Clients wie Outlook, Thunderbird, ActiveSync, etc. benutzen, sind Sie NICHT betroffen. Laut einer Aussage von Zimbra sind Nutzer von Zimbra 9 und ETES Groupware ebenfalls nicht betroffen.
Es handelt sich um eine Zero-day-XSS-Schwachstelle, welche AUSSCHLIESSLICH DEN WEBCLIENT betrifft und über verlinkte Elemente (Bilder, Links, ...) in E-Mails ausgenutzt werden kann.
Zimbra arbeitet lt. eigener Aussage bereits mit höchster Priorität an der Behebung des Problems.
Was können Sie als Anwender tun:
- Bitte achten Sie besonders auf E-Mails von unbekannten Absendern und deren Inhalte
- Bitten Sie Ihre Kommunikationspartner Text-Mails statt HTML-Mails zu verwenden
- Klicken Sie auf keine Links innerhalb von E-Mails
- Klicken Sie nicht auf "externe Bilder anzeigen", wenn Ihnen dies angeboten wird
- Verwenden Sie alternative Mail-Clients wie Outlook oder Thunderbird bis dieses Problem behoben ist
Informationen zur Einrichtung anderer Mail-Clients für die Nutzung von Zimbra finden Sie unter: https://dokumentation.etes.de/etes/anleitungen/e-mail/zimbra-cloud
Sofern durch die Schwachstelle personenbezogene Informationen fälschlicherweise an Dritte/Unberechtigte übermittelt wurden, entsteht möglicherweise ein für Sie gemäß EU-DS-GVO meldepflichtiger Vorfall. Sollten Sie Kenntnis über einen bei Ihnen bereits aufgetretenen Datenabfluss haben oder Unsicherheiten Ihrerseits vorliegen, kontaktieren Sie uns gerne.
Wir werden Sie innerhalb dieses Blogposts über weitere Neuigkeiten informieren.
Update (07.02.2022): Der Bug wurde behoben. Wenn Sie nichts anderes von uns gehört haben, ist der Patch in den Zimbra-Updates inkludiert. Sie müssen nichts anderes tun als wie gewohnt Ihr Zimbra-System updaten. Der Zimbra-Patch (unter RedHat) muss nach einem Update die Versionsnummer 8.8.15.1643980846.p30-2 haben.
Gerne stehen wir Ihnen zur Verfügung, sollten Sie weitere Fragen haben.