Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
+39 0521 618591

logo zimbra    logo zimbra suite plus

20 Mar

Tips & Tricks : XXE / SSRF Vulnerability Info + 2 New patches

Creato: 20 Marzo 2019

Abbiamo un'informativa sulla XXE / SSRF vulnerabilit y, e due nuove patch:

  • Zimbra 8.7.11 Patch 10
  • Patch Zimbra 8.6.0 13

Recente divulgazione di vulnerabilità Zimbra XXE / SSRF

Il team Zimbra Security ha lavorato con il ricercatore sulla sicurezza An Trinh che spiega le sue scoperte riguardo ad una vulnerabilità che, se sfruttata, potrebbe consentire a un utente malintenzionato di eseguire in remoto il codice su un sistema Zimbra interessato.

 

Per proteggere le versioni supportate di Zimbra (8.7 e 8.8)

  • I clienti Zimbra che eseguono versioni di 8.8 devono eseguire l'aggiornamento a 8.8.10 Patch 7 o 8.8.11 Patch 3
  • I clienti Zimbra che eseguono la versione di supporto a lungo termine (LTS) 8.7.11 devono effettuare l'aggiornamento a 8.7.11 Patch 10

Per proteggere la versione non supportata di Zimbra (8.6 e precedenti)

  • I clienti che eseguono 8.6 devono eseguire l'upgrade alla Patch  13 - Questa patch è prevista per il rilascio il 19 marzo.
  • Le versioni precedenti di Zimbra sono vulnerabili fino a quando non vengono aggiornate a una versione supportata.

NOTA: Zimbra ti consiglia di eseguire sempre l'aggiornamento all'ultima versione di Zimbra per proteggerti dalle possibili vulnerabilità della sicurezza.

8.7.11 Patch 10

La patch 10 è disponibile per la versione GA di Zimbra 8.7.11 e include le correzioni elencate nelle note sulla  versione .

Correzioni di sicurezza

Le informazioni sulle correzioni di sicurezza, sulla politica di risposta alla sicurezza e sulla classificazione delle vulnerabilità sono elencate di seguito. Per i dettagli, consultare le  politiche di risposta alla sicurezza Zimbra  e le   informazioni sulla classificazione della vulnerabilità Zimbra .

bug #SommarioCVE-IDPunteggio CVSSValutazione ZimbraVersione di correzione o versione di correzione
109.129 Bug 109129 - XXE [CWE-611] CVE-2019-9670 6.4 Maggiore 8.7.11 Patch 10

Installazione della patch

Scarica la patch per  Network Edition  e  Open Source Edition .

Fare riferimento alle note sulla  versione  per l'installazione della patch 10 8.7.11.

Nota : questa patch deve essere installata  solo  su  tutti i  nodi delle cassette postali in esecuzione nel proprio ambiente.

Patch 8.6.0 13

La patch 13 è disponibile per la versione Zimbra 8.6.0 GA e include le correzioni elencate nelle note sulla  versione .

Correzioni di sicurezza

Le informazioni sulle correzioni di sicurezza, sulla politica di risposta alla sicurezza e sulla classificazione delle vulnerabilità sono elencate di seguito. Per i dettagli, consultare le  politiche di risposta alla sicurezza Zimbra  e le   informazioni sulla classificazione della vulnerabilità Zimbra .

bug #SommarioCVE-IDPunteggio CVSSValutazione ZimbraVersione di correzione o versione di correzione
109.129 Bug 109129 - XXE [CWE-611] CVE-2019-9670 6.4 Maggiore Patch 8.6.0 13

Installazione della patch

Scarica la patch per  Network Edition  e  Open Source Edition .

Fare riferimento alle note sulla  versione  per l'installazione della patch 13 8.6.0.

Nota : questa patch deve essere installata  solo  su  tutti i  nodi delle cassette postali in esecuzione nel proprio ambiente.