FEHLER!

Zimbra veröffentlicht Sicherheitsupdates für Versionen 10.0 und 10.1 zur Schließung kritischer Schwachstellen

Die Entwickler der Groupware Zimbra haben in jüngster Zeit aktualisierte Softwarepakete für die Versionen 10.0 und 10.1 veröffentlicht, die eine Reihe von Sicherheitslücken schließen und somit IT-Verantwortlichen wichtige Handlungsempfehlungen bieten. Die Changelogs dieser neu verfügbaren Versionen, nämlich 10.0.18 und 10.1.13, verdeutlichen die umfassende Arbeit an der Bekämpfung von Sicherheitsrisiken. In Version 10.0.18 wurden beispielsweise Updates für das AntiSamy-System auf Version 1.7.8 implementiert, wodurch eine zuvor bestehende Stored-Cross-Site-Scripting-Lücke geschlossen wurde. Zudem wurde eine Pfadprüfung in die codeExportAndDeleteItemsRequest/code API eingeführt, um unzulässige Dateiexporte zu verhindern. Ein durchgängiges CSRF-Enforcement-Problem in bestimmten Authentifizierungsflusssystemen wurde angegangen, und eine lokale File-Inclusion-Schwachstelle ohne vorherige Authentifizierung in RestFilter wurde behoben. Auch das Nginx-Modul wurde aktualisiert, um Sicherheitsstandards und Compliance-Kriterien einzuhalten. Version 10.1.13 baut auf diesen Schritten auf und schließt zusätzlich weitere Sicherheitslücken. So wurden beispielsweise hartkodierte Flickr-API-Zugangsdaten vom Flickr-Zimlet entfernt und zurückgezogen, da diese ein potenzielles Angriffsziel darstellten. Eine Stored Cross-Site-Scripting-Lücke im Zimbra Mail-Client für E-Mails mit PDF-Anhängen wurde korrigiert, und Eingabe- sowie Null-Prüfungen im PreAuthServlet wurden ergänzt, um eine Ausnutzung durch fehlerhafte Anfragen zu verhindern. Ein Problem mit der Auflistung von Admin-Konten wurde ebenfalls gelöst, und die Apache HttpClient-Bibliothek wurde auf Version 4.5.14 aktualisiert. Die genauen Details der geschlossenen Sicherheitslücken und ihre Schwachstelleneinträge (CVE) werden zwar nicht explizit genannt, jedoch betont das Zentrum für Cybersicherheit (CERT) des Bundesamtes für Sicherheit in der Informationstechnik (BSI), dass der Schweregrad dieser Lücken bis hinauf zum CVSS-Wert 9.8, also als kritisch eingestuft, angesehen wird. Experten gehen davon aus, dass Angreifer durch diese Schwachstellen unter anderem Schadcode ausführen und bestehende Sicherheitsmaßnahmen umgehen könnten. Angesichts dieser Einschätzung ist die zeitnahe Installation der aktualisierten Pakete von entscheidender Bedeutung für alle Anwender von Zimbra, um potenzielle Risiken effektiv zu minimieren.

Schlagwörter: Zimbra + API + RestFilter

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 7. November 2025