Schwachstelle in Zimbra 8.8.15 bei Nutzung des Webclients

Infrastruktur von Markus Espenhain

Schrift Sicherheitslücke vor Schloss
Martin Rettenberger/Shutterstock.com

Heute, am 04.02.2022, wurde eine kritische Sicherheitslücke bis einschließlich Zimbra 8.8.15 P30 bekannt, die in Verbindung mit der Nutzung des Webclients in Zimbra steht. Sollten Sie Zimbra über andere Clients wie Outlook, Thunderbird, ActiveSync, etc. benutzen, sind Sie NICHT betroffen. Laut einer Aussage von Zimbra sind Nutzer von Zimbra 9 und ETES Groupware ebenfalls nicht betroffen.

Es handelt sich um eine Zero-day-XSS-Schwachstelle, welche AUSSCHLIESSLICH DEN WEBCLIENT betrifft und über verlinkte Elemente (Bilder, Links, ...) in E-Mails ausgenutzt werden kann.

Zimbra arbeitet lt. eigener Aussage bereits mit höchster Priorität an der Behebung des Problems.

Was können Sie als Anwender tun:

  • Bitte achten Sie besonders auf E-Mails von unbekannten Absendern und deren Inhalte
  • Bitten Sie Ihre Kommunikationspartner Text-Mails statt HTML-Mails zu verwenden
  • Klicken Sie auf keine Links innerhalb von E-Mails
  • Klicken Sie nicht auf "externe Bilder anzeigen", wenn Ihnen dies angeboten wird
  • Verwenden Sie alternative Mail-Clients wie Outlook oder Thunderbird bis dieses Problem behoben ist

Informationen zur Einrichtung anderer Mail-Clients für die Nutzung von Zimbra finden Sie unter: https://dokumentation.etes.de/etes/anleitungen/e-mail/zimbra-cloud

Sofern durch die Schwachstelle personenbezogene Informationen fälschlicherweise an Dritte/Unberechtigte übermittelt wurden, entsteht möglicherweise ein für Sie gemäß EU-DS-GVO meldepflichtiger Vorfall. Sollten Sie Kenntnis über einen bei Ihnen bereits aufgetretenen Datenabfluss haben oder Unsicherheiten Ihrerseits vorliegen, kontaktieren Sie uns gerne.

Wir werden Sie innerhalb dieses Blogposts über weitere Neuigkeiten informieren.

Update (07.02.2022): Der Bug wurde behoben. Wenn Sie nichts anderes von uns gehört haben, ist der Patch in den Zimbra-Updates inkludiert. Sie müssen nichts anderes tun als wie gewohnt Ihr Zimbra-System updaten. Der Zimbra-Patch (unter RedHat) muss nach einem Update die Versionsnummer 8.8.15.1643980846.p30-2 haben.

Gerne stehen wir Ihnen zur Verfügung, sollten Sie weitere Fragen haben.

Kontaktieren Sie uns

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Unsere Kontaktdaten: +49 711 / 489083 - 0

Bitte rechnen Sie 5 plus 8.
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.