Abbiamo un’informativa sulla XXE / SSRF vulnerabilit y, e due nuove patch:
- Zimbra 8.7.11 Patch 10
- Patch Zimbra 8.6.0 13
Recente divulgazione di vulnerabilità Zimbra XXE / SSRF
Il team Zimbra Security ha lavorato con il ricercatore sulla sicurezza An Trinh che spiega le sue scoperte riguardo ad una vulnerabilità che, se sfruttata, potrebbe consentire a un utente malintenzionato di eseguire in remoto il codice su un sistema Zimbra interessato.
Per proteggere le versioni supportate di Zimbra (8.7 e 8.8)
- I clienti Zimbra che eseguono versioni di 8.8 devono eseguire l’aggiornamento a 8.8.10 Patch 7 o 8.8.11 Patch 3
- I clienti Zimbra che eseguono la versione di supporto a lungo termine (LTS) 8.7.11 devono effettuare l’aggiornamento a 8.7.11 Patch 10
Per proteggere la versione non supportata di Zimbra (8.6 e precedenti)
- I clienti che eseguono 8.6 devono eseguire l’upgrade alla Patch 13 – Questa patch è prevista per il rilascio il 19 marzo.
- Le versioni precedenti di Zimbra sono vulnerabili fino a quando non vengono aggiornate a una versione supportata.
NOTA: Zimbra ti consiglia di eseguire sempre l’aggiornamento all’ultima versione di Zimbra per proteggerti dalle possibili vulnerabilità della sicurezza.
8.7.11 Patch 10
La patch 10 è disponibile per la versione GA di Zimbra 8.7.11 e include le correzioni elencate nelle note sulla versione .
Correzioni di sicurezza
Le informazioni sulle correzioni di sicurezza, sulla politica di risposta alla sicurezza e sulla classificazione delle vulnerabilità sono elencate di seguito. Per i dettagli, consultare le politiche di risposta alla sicurezza Zimbra e le informazioni sulla classificazione della vulnerabilità Zimbra .
| bug # | Sommario | CVE-ID | Punteggio CVSS | Valutazione Zimbra | Versione di correzione o versione di correzione |
|---|---|---|---|---|---|
| 109.129 | Bug 109129 – XXE [CWE-611] | CVE-2019-9670 | 6.4 | Maggiore | 8.7.11 Patch 10 |
Installazione della patch
Scarica la patch per Network Edition e Open Source Edition .
Fare riferimento alle note sulla versione per l’installazione della patch 10 8.7.11.
Nota : questa patch deve essere installata solo su tutti i nodi delle cassette postali in esecuzione nel proprio ambiente.
Patch 8.6.0 13
La patch 13 è disponibile per la versione Zimbra 8.6.0 GA e include le correzioni elencate nelle note sulla versione .
Correzioni di sicurezza
Le informazioni sulle correzioni di sicurezza, sulla politica di risposta alla sicurezza e sulla classificazione delle vulnerabilità sono elencate di seguito. Per i dettagli, consultare le politiche di risposta alla sicurezza Zimbra e le informazioni sulla classificazione della vulnerabilità Zimbra .
| bug # | Sommario | CVE-ID | Punteggio CVSS | Valutazione Zimbra | Versione di correzione o versione di correzione |
|---|---|---|---|---|---|
| 109.129 | Bug 109129 – XXE [CWE-611] | CVE-2019-9670 | 6.4 | Maggiore | Patch 8.6.0 13 |
Installazione della patch
Scarica la patch per Network Edition e Open Source Edition .
Fare riferimento alle note sulla versione per l’installazione della patch 13 8.6.0.
Nota : questa patch deve essere installata solo su tutti i nodi delle cassette postali in esecuzione nel proprio ambiente.