Zimbra 9.0.0 Patch27 i Zimbra 8.8.15 Patch 34 wydane!

Zimbra 9.0.0 Patch27 i Zimbra 8.8.15 Patch 34

W dniu 12.X.2022 Zimbra wydała nowe łatki do swoich sztandarowych produktów Zimbra 9.0.0 oraz Zimbra 8.8.15, z numerkami odpowiednio Patch27 i Patch34.

 

 

Najważniejsze zmiany dla Zimbry 9.0.0 Patch 27

Opis CVE-ID Punktacja CVSS Klasyfikacja
Zimbry
Opis
Atakujący może wykorzystać pakiet cpio w celu uzyskania nieautoryzowanego dostępu do kont. Zalecana procedura to instalacja pakietu pax CVE-2022-41352 9.8 Major 9.0.0 P27
Konfiguracja sudo dla zimbry pozwala na wywołanie komendy zmslapd jako root z dowolnymi parametrami CVE-2022-37393 7.8 Medium 9.0.0 P27
Podatność XSS poprzez atrybut IMG, która może doprowadzić do uzyskania informacji CVE-2022-41348 TBD Medium 9.0.0 P27

 

Szczególnie należy zwrócić uwagę na podatność CVE-2022-41352 i jak najszybciej wprowadzić poprawkę (Szybkie załatanie tej dziury opisujemy tutaj)

Z nowości warto zwrócić uwagę na zmianę w Outlook Connectorze, która pozwala na instalację connectora użytkownikom w domenie AD poprzez GPO.

Dodatkowo, w kliencie ModernUI zmieniono dostęp do aktówki, która teraz jest dostępna po jednym clicku. Oprócz tego mamy sporo poprawek, szczegółowo opisane na stronie z ReleaseNotesami (linki poniżej).

 

Najważniejsze zmiany dla Zimbry 8.8.15 Patch 34

Poprawki bezpieczeństwa:

Opis CVE-ID Punktacja CVSS

Klasyfikacja Zimbry

Atakujący może wykorzystać pakiet cpio w celu uzyskania nieautoryzowanego dostępu do kont. Zalecana procedura to instalacja pakietu pax

CVE-2022-41352

9.8 Major
Konfiguracja sudo dla zimbry pozwala na wywołanie komendy zmslapd jako root z dowolnymi parametrami

CVE-2022-37393

7.8 Medium
Podatność XSS poprzez atrybut w komponencie do wyszukiwania

CVE-2022-41350

TBD Medium
Podatność XSS poprzez atrybut w komponencie do wyszukiwania

CVE-2022-41349

TBD Medium
Podatność XSS poprzez atrybut w komponencie do wyszukiwania

CVE-2022-41351

TBD Medium

 

Szczególnie należy zwrócić uwagę na podatność CVE-2022-41352 i jak najszybciej wprowadzić poprawkę. (Szybkie załatanie tej dziury opisujemy tutaj)

Z nowości warto zwrócić uwagę na zmianę w Outlook Connectorze, która pozwala na instalację connectora użytkownikom w domenie AD poprzez GPO.

 

Oprócz tego mamy sporo poprawek, szczegółowo opisane na stronie z ReleaseNotesami (linki poniżej).

 

 

Tagi: