Alert!

Groupware: Präparierte E-Mails könnten zur Codeausführung in Zimbra führen

Angreifer könnten in Zimbra Backdoors per E-Mail hochladen. Schuld daran ist eine Lücke im Entpacker unrar, die die Erstellung beliebiger Dateien erlaubt.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 15 Beiträge
Aufmacher Zimbra/unrar-Sicherheitslücke

(Bild: Pavel Ignatov/Shutterstock.com)

Von
  • Dr. Christopher Kunz

Die Groupware Zimbra leidet unter einem Sicherheitsproblem im Entpackprogramm unrar. Der Bug erlaubt es Angreifern, die Sicherheitsprüfungen zu symbolischen Links und relativen Pfaden auszutricksen und ein RAR-Archiv zu erstellen, das Dateien in beliebigen Verzeichnissen auf dem Zielsystem schreibt (CVE-2022-30333, CVSS 7.5, Risiko-Einstufung "hoch").

In Zimbra kommt unrar unter anderem bei der Überprüfung von E-Mail-Anhängen auf Viren zum Einsatz. Sendet der Angreifer eine E-Mail mit einem RAR-Archiv, wird dieses vom Virenscanner entpackt und die vom Angreifer präparierten Dateien werden auf dem Zimbra-Server erstellt. Um eigenen Schadcode auf dem Zielsystem auszuführen, können Angreifer nun durch einen manipulierten RAR-Anhang zum Beispiel eine JSP-Shell im Basisverzeichnis der Zimbra-Weboberfläche entpacken, wie die IT-Sicherheitsfirma Sonar in einem Blogartikel schreibt.

Die Entwickler von unrar haben das Sicherheitsproblem in Version 6.12 behoben, die jedoch zum Zeitpunkt der Meldung nicht in allen Linux-Distributionen verfügbar ist – bei Debian und Ubuntu steht der Status noch auf "nicht behoben", bei Red Hat findet sich derweil kein Ticket dazu; SUSE hat inzwischen teilweise Aktualisierungen herausgegeben. Administratoren von Zimbra-Servern sollten überprüfen, ob eine angreifbare Version von unrar installiert ist.

(dmk)