Am 29.06.2022 berichtete unter anderen heise.de über eine mögliche Sicherheitslücke in der Zimbra Collaboration Suite. Die Meldung ist in Zusammenhang mit Zimbra Collaboration Suite unvollständig und nicht korrekt. Nach eingehender Prüfung haben wir folgendes festgestellt:
- Die Sicherheitslücke nach CVE-2022-30333 über präparierte E-Mails mit einem .rar Archiv als Anhang ist nur ausnutzbar, falls Zimbra ZCS nicht auf die standardmäßigen Packer 7zip, zip oder tar zurückgreifen kann und stattdessen (nicht in der Standardinstallation enthalten) rar/unrar verwenden muss.
- Bestimmte Leistungsmerkmale von Zimbra ZCS, die auf das Entpacken von Archiven in E-Mail-Anhängen angewiesen sind, sind nur in der "Network Edition" verfügbar. So z. Bsp. die Indizierung von Anhängen oder die Vorschau von Anhängen.
- Auf den von uns betreuten Systemen ist generell kein rar/unrar installiert. Stattdessen wird tar, gzip, 7za oder zip/unzip verwendet.
- Zimbra ZCS verwendet mit dem aktuellsten Patch rar/unrar grundsätzlich nicht mehr, sondern stattdessen 7zipa
- Das Problem liegt nicht direkt in Zimbra ZCS sondern in einem Fehler des Drittanbieterpaketes rar/unrar. Dieses ist aufgrund seiner Lizenz in den meisten Linux- Distributionen nicht standardmäßig verfügbar.
- Es besteht jederzeit die Möglichkeit, bestimmte Dateitypen - wie *.rar - als Attachment auszuschließen. Das kann im Admin- UI nach Bedarf selbst konfiguriert werden und ist auf den von uns betreuten Systemen die Standardeinstellung.
