Log4j 0-day: czyli czy Zimbra jest bezpieczna?
Jak zapewne wszyscy administratorzy - którym bezpieczeństwo ich systemów leży na sercu - wiedzą, od 11 grudnia cały świat security żyje wykrytą luką CVE-2021-44228 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228), która pozwala na zdalne wykonanie kodu czyli tzw RCE (Remote Code Excetion). Jak niebezpieczne są takie luki, nikogo nie trzeba przekonywać.
Na tę podatność narażone są nie tylko aplikacje webowe ale również wszelkie aplikacje Javowe, które wykorzystują bibliotekę log4j. I tutaj dochodzimy do interesującego nas tematu, czyli pytania czy Zimbra również jest zagrożona tym atakiem.
Uprzedzając fakty, Zimbra, w dowolnej wersji, nie jest podatna na ten rodzaj ataku! Wynika to przede wszystkim z tego, że Zimbra wykorzystuje bibliotekę w wersji 1.2.16, gdy podatność ta została wprowadzona w bibliotece log4j od wersji 2.0-beta9. Dopiero wersja 2.16.0 podatność została naprawiona.
I jeszcze krótki test wersji biblioteki używanej w Zimbrze 8.8.15 i Zimbrze 9.0.0:
$ unzip -p /opt/zimbra/lib/jars/log4j-1.2.16.jar | grep Implementation-Version:
Implementation-Version: 1.2.16
Czy już odwiedziłeś nas na stronie zintalio.com?