zurück zum Artikel

Groupware: Präparierte E-Mails könnten zur Codeausführung in Zimbra führen

Dr. Christopher Kunz
Aufmacher Zimbra/unrar-Sicherheitslücke

(Bild: Pavel Ignatov/Shutterstock.com)

Angreifer könnten in Zimbra Backdoors per E-Mail hochladen. Schuld daran ist eine Lücke im Entpacker unrar, die die Erstellung beliebiger Dateien erlaubt.

Die Groupware Zimbra leidet unter einem Sicherheitsproblem im Entpackprogramm unrar. Der Bug erlaubt es Angreifern, die Sicherheitsprüfungen zu symbolischen Links und relativen Pfaden auszutricksen und ein RAR-Archiv zu erstellen, das Dateien in beliebigen Verzeichnissen auf dem Zielsystem schreibt (CVE-2022-30333, CVSS 7.5, Risiko-Einstufung "hoch").

In Zimbra kommt unrar unter anderem bei der Überprüfung von E-Mail-Anhängen auf Viren zum Einsatz. Sendet der Angreifer eine E-Mail mit einem RAR-Archiv, wird dieses vom Virenscanner entpackt und die vom Angreifer präparierten Dateien werden auf dem Zimbra-Server erstellt. Um eigenen Schadcode auf dem Zielsystem auszuführen, können Angreifer nun durch einen manipulierten RAR-Anhang zum Beispiel eine JSP-Shell im Basisverzeichnis der Zimbra-Weboberfläche entpacken, wie die IT-Sicherheitsfirma Sonar in einem Blogartikel [1] schreibt.

Die Entwickler von unrar haben das Sicherheitsproblem in Version 6.12 behoben, die jedoch zum Zeitpunkt der Meldung nicht in allen Linux-Distributionen verfügbar ist – bei Debian und Ubuntu steht der Status noch auf "nicht behoben", bei Red Hat findet sich derweil kein Ticket dazu; SUSE hat inzwischen teilweise Aktualisierungen herausgegeben. Administratoren von Zimbra-Servern sollten überprüfen, ob eine angreifbare Version von unrar installiert ist.

(dmk [2])


URL dieses Artikels:
https://www.heise.de/-7156812

Links in diesem Artikel:
[1] https://blog.sonarsource.com/zimbra-pre-auth-rce-via-unrar-0day/
[2] mailto:dmk@heise.de