Vulnerabilità in prodotti Zimbra ZCS - *Aggiornamento di sicurezza: assicurati di installare pax/spax*
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 10 Ottobre 2022
Tags: #sicurezza, #bug, #zimbra
Tags: #sicurezza, #bug, #zimbra
*Aggiornamento di sicurezza: assicurati di installare pax/spax*
Tutti gli amministratori Zimbra dovrebbero assicurarsi che il pacchetto pax sia installato sul proprio server Zimbra. Pax è necessario ad Amavis per estrarre il contenuto degli allegati compressi per la scansione dei virus.
Se il pacchetto pax non è installato, Amavis ricadrà sull'utilizzo di cpio, sfortunatamente il fallback è implementato male (da Amavis) e consentirà a un utente malintenzionato non autenticato di creare e sovrascrivere file sul server Zimbra, incluso il webroot Zimbra.
Per la maggior parte dei server Ubuntu il pacchetto pax dovrebbe essere già installato poiché è una dipendenza di Zimbra. A causa di una modifica della confezione in CentOS, è molto probabile che pax non sia installato.
Dovresti convalidare e installare pax su tutti i tuoi sistemi come segue:
Ubuntu
apt install pax
CentOS 7 e derivati
yum installa pax
CentOS 8 e derivati
dnf installa spax
Riavvia Zimbra utilizzando:
sudo su zimbra -
zmcontrol riavvio
Questo problema verrà affrontato anche nella prossima patch di Zimbra in cui renderemo pax un requisito di Zimbra.