Am 2.10.2024 wurde auf heise.de und anderen Portalen zu CVE-2024-45519 berichtet. Diese Informationen sind per 04.10.2024 bereits veraltet und z. T. nicht zutreffend. Der Softwarehersteller hat zu diesem Sachverhalt bereits Anfang September informiert und einen Patch veröffentlicht: https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
Die von managedhosting.de im Auftrag unserer Kunden betriebenen Systeme sind durch diese Sicherheitslücke nicht angreifbar. Wir verwenden eigens optimierte und gehärtete Versionen des Betriebssystems und der Zimbra Konfiguration.
Leider zitieren viele Portale die eigentlichen Quellen unvollständig und z. T. auch falsch. Eine seriöse und korrekte Bewertung der Sicherheitslücke ist unter https://blog.projectdiscovery.io/zimbra-remote-code-execution/ zu finden. Demnach ist es zur Ausnutzung dieser Sicherheitslücke erforderlich, dass sich der Absender der manipulierten E-Mail innerhalb des für Postfix vertrauenswürdigen Netzwerks befindet und zusätzlich der Postjournal Service aktiv ist. Beide Voraussetzungen sind bei korrekter Konfiguration nicht erfüllt. Desweiteren ist der Postjournal Service nur in der Zimbra Network Edition verfügbar. Die bis zur Version 8.8.15 verfügbare OSE ist damit ohnehin nicht getroffen.
Hintergrundinformationen:
Mit der im im August 2014 veröffentlichen Zimbra Version 8.5 wurde das Leistungsmerkmal "MS Exchange kompatibles Journaling" eingeführt, mit dem es möglich ist, alle ein- und ausgehenden E-Mails des Systems zu protokollieren und an eine bestimmte E-Mail Adresse zu senden. Dieses Leistungsmerkmal ähnelt dem Parameter always_bcc
in Postfix, wird aber durch den speziellen Zimbra Service Postjournal realisiert. Die beschriebene Sicherheitslücke basiert auf der ungenügenden Eingabeüberprüfung von E-Mail-Adressen, die es in der Folge einem Angreifer ermöglicht, im lokalen Teil einer E-Mail-Adresse Befehle ausführen zu lassen. Somit ist es z. Bsp. möglich, dass in öffentlich schreibbaren Verzeichnissen des Systems Progamme wie eine Webshell geladen und ausgeführt werden. Voraussetzung dafür ist, dass das Leistungsmerkmal "Postjournal" in Zimbra ZCS aktiviert wurde, was standardmäßig nicht der Fall ist.
Überprüfen lässt sich das einfach, indem man sich die betreffende Konfiguration ausgeben lässt (als root):
sudo -u zimbra /opt/zimbra/bin/zmlocalconfig postjournal_enabled
sollte die Ausgabe
postjournal_enabled = false
liefern. Damit ist das System nicht für diese Sicherheitslücke anfällig.
Weiterführende Informationen:
https://blog.zimbra.com/2024/10/zimbra-cve-2024-45519-vulnerability-stay-secure-by-updating/
https://nvd.nist.gov/vuln/detail/CVE-2024-45519
https://wiki.zimbra.com/wiki/New_Features_ZCS_8.5