There was a problem loading the comments.

Zimbra Collaboration - Sicherheitslücke im Zimbra Mobile Web UI

Support Portal  »  Announcements  »  Viewing Article

  Print

Am 13.07.2023 informierte Synacor per E-Mail über eine Sicherheitslücke im Quelltext des Mobile Web UI, die es Angreifern ermöglicht, Schadcode auf dem System auszuführen. Betroffen ist Zimbra Collaboration Suite Version 8.8.15. Die offizielle Seite https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories enthält darüber noch keine Informationen.

 

Um die Sicherheitslücke zu schließen, wird in der E-Mail auf die manuelle Änderung der entsprechenden Datei verwiesen: https://github.com/Zimbra/zm-web-client/pull/827

 

Zeile 40 der Datei /opt/zimbra/jetty/webapps/zimbra/m/momoveto muss von bisher 

 

<input name="st" type="hidden" value="${param.st}"/>

 

in

 

<input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>

 

geändert werden. Ein Neustart ist nicht nötig.

 

Die manuelle Änderung lässt sich bequem folgendermaßen ausführen:

 

# as root
sudo su -

# make backup of /opt/zimbra/jetty/webapps/zimbra/m/momoveto
cp /opt/zimbra/jetty/webapps/zimbra/m/momoveto /tmp/momoveto.backup

# check "param.st"
grep param.st /tmp/momoveto.backup

# apply fix
sed -i 's/param.st/fn:escapeXml(param.st)/' /opt/zimbra/jetty/webapps/zimbra/m/momoveto

# check "param.st"
grep param.st /tmp/momoveto.backup

# remove backup
rm -f /tmp/momoveto.backup

 


Share via

Related Articles

© managedhosting.de