{"id":14921,"date":"2025-11-07T12:31:24","date_gmt":"2025-11-07T12:31:24","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/11\/07\/zimbra-veroeffentlicht-sicherheitsupdates-fuer-versionen-10-0-und-10-1-zur-schliessung-kritischer-schwachstellen\/"},"modified":"2025-11-07T12:31:24","modified_gmt":"2025-11-07T12:31:24","slug":"zimbra-veroeffentlicht-sicherheitsupdates-fuer-versionen-10-0-und-10-1-zur-schliessung-kritischer-schwachstellen","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=14921","title":{"rendered":"Zimbra ver\u00f6ffentlicht Sicherheitsupdates f\u00fcr Versionen 10.0 und 10.1 zur Schlie\u00dfung kritischer Schwachstellen"},"content":{"rendered":"<p>Die Entwickler der Groupware Zimbra haben in j\u00fcngster Zeit aktualisierte Softwarepakete f\u00fcr die Versionen 10.0 und 10.1 ver\u00f6ffentlicht, die eine Reihe von Sicherheitsl\u00fccken schlie\u00dfen und somit IT-Verantwortlichen wichtige Handlungsempfehlungen bieten. Die Changelogs dieser neu verf\u00fcgbaren Versionen, n\u00e4mlich 10.0.18 und 10.1.13, verdeutlichen die umfassende Arbeit an der Bek\u00e4mpfung von Sicherheitsrisiken. In Version 10.0.18 wurden beispielsweise Updates f\u00fcr das AntiSamy-System auf Version 1.7.8 implementiert, wodurch eine zuvor bestehende Stored-Cross-Site-Scripting-L\u00fccke geschlossen wurde. Zudem wurde eine Pfadpr\u00fcfung in die codeExportAndDeleteItemsRequest\/code API eingef\u00fchrt, um unzul\u00e4ssige Dateiexporte zu verhindern. Ein durchg\u00e4ngiges CSRF-Enforcement-Problem in bestimmten Authentifizierungsflusssystemen wurde angegangen, und eine lokale File-Inclusion-Schwachstelle ohne vorherige Authentifizierung in RestFilter wurde behoben. Auch das Nginx-Modul wurde aktualisiert, um Sicherheitsstandards und Compliance-Kriterien einzuhalten. Version 10.1.13 baut auf diesen Schritten auf und schlie\u00dft zus\u00e4tzlich weitere Sicherheitsl\u00fccken. So wurden beispielsweise hartkodierte Flickr-API-Zugangsdaten vom Flickr-Zimlet entfernt und zur\u00fcckgezogen, da diese ein potenzielles Angriffsziel darstellten. Eine Stored Cross-Site-Scripting-L\u00fccke im Zimbra Mail-Client f\u00fcr E-Mails mit PDF-Anh\u00e4ngen wurde korrigiert, und Eingabe- sowie Null-Pr\u00fcfungen im PreAuthServlet wurden erg\u00e4nzt, um eine Ausnutzung durch fehlerhafte Anfragen zu verhindern. Ein Problem mit der Auflistung von Admin-Konten wurde ebenfalls gel\u00f6st, und die Apache HttpClient-Bibliothek wurde auf Version 4.5.14 aktualisiert. Die genauen Details der geschlossenen Sicherheitsl\u00fccken und ihre Schwachstelleneintr\u00e4ge (CVE) werden zwar nicht explizit genannt, jedoch betont das Zentrum f\u00fcr Cybersicherheit (CERT) des Bundesamtes f\u00fcr Sicherheit in der Informationstechnik (BSI), dass der Schweregrad dieser L\u00fccken bis hinauf zum CVSS-Wert 9.8, also als kritisch eingestuft, angesehen wird. Experten gehen davon aus, dass Angreifer durch diese Schwachstellen unter anderem Schadcode ausf\u00fchren und bestehende Sicherheitsma\u00dfnahmen umgehen k\u00f6nnten. Angesichts dieser Einsch\u00e4tzung ist die zeitnahe Installation der aktualisierten Pakete von entscheidender Bedeutung f\u00fcr alle Anwender von Zimbra, um potenzielle Risiken effektiv zu minimieren.<\/p>\n<p>Schlagw\u00f6rter: Zimbra + API + RestFilter<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Entwickler der Groupware Zimbra haben in j\u00fcngster Zeit aktualisierte Softwarepakete f\u00fcr die Versionen 10.0 und 10.1 ver\u00f6ffentlicht, die eine Reihe von Sicherheitsl\u00fccken schlie\u00dfen und somit IT-Verantwortlichen wichtige Handlungsempfehlungen bieten. Die Changelogs dieser neu verf\u00fcgbaren Versionen, n\u00e4mlich 10.0.18 und 10.1.13, verdeutlichen die umfassende Arbeit an der Bek\u00e4mpfung von Sicherheitsrisiken. In&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":14920,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14921","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14921","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14921"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14921\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/14920"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14921"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14921"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14921"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}