CERTFR-2022-AVI-551
Vulnerability from certfr_avis

De multiples vulnérabilités ont été découvertes dans Zimbra. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

  • Zimbra versions antérieures à 9.0.0 “Kepler” Patch 25
  • Zimbra versions antérieures à 8.8.15 Patch 32

PS : L'éditeur a identifié des problèmes liés à cette mise à jour de sécurité et recommande de ne pas l'appliquer pour le moment.

Zimbra indique que les problèmes liés à la mise à jour ont été identifiés et qu'il est désormais reommandé d'installer la mise à jour.

De plus, l'éditeur indique avoir corrigé la vulnérabilité CVE-2022-30333 en utilisant le paquet 7zip à la place d'unrar. Les utilisateurs sont invités à désinstaller unrar.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cul\u003e \u003cli\u003eZimbra versions ant\u00e9rieures \u00e0 9.0.0 \u201cKepler\u201d Patch 25\u003c/li\u003e \u003cli\u003eZimbra versions ant\u00e9rieures \u00e0 8.8.15 Patch 32\u003c/li\u003e \u003c/ul\u003e \u003cp\u003e\u003cdel\u003ePS : L\u0027\u00e9diteur a identifi\u00e9 des probl\u00e8mes li\u00e9s \u00e0 cette mise \u00e0 jour de s\u00e9curit\u00e9 et recommande de ne pas l\u0027appliquer pour le moment.\u003c/del\u003e\u003c/p\u003e \u003cp\u003eZimbra indique que les probl\u00e8mes li\u00e9s \u00e0 la mise \u00e0 jour ont \u00e9t\u00e9 identifi\u00e9s et qu\u0027il est d\u00e9sormais reommand\u00e9 d\u0027installer la mise \u00e0 jour.\u003c/p\u003e \u003cp\u003eDe plus, l\u0027\u00e9diteur indique avoir corrig\u00e9 la vuln\u00e9rabilit\u00e9 CVE-2022-30333 en utilisant le paquet 7zip \u00e0 la place d\u0027unrar. Les utilisateurs sont invit\u00e9s \u00e0 d\u00e9sinstaller \u003cem\u003eunrar\u003c/em\u003e.\u003c/p\u003e ",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2019-0231",
      "url": "https://www.cve.org/CVERecord?id=CVE-2019-0231"
    },
    {
      "name": "CVE-2021-28165",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-28165"
    },
    {
      "name": "CVE-2022-30333",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-30333"
    },
    {
      "name": "CVE-2022-0778",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-0778"
    }
  ],
  "initial_release_date": "2022-06-15T00:00:00",
  "last_revision_date": "2022-06-29T00:00:00",
  "links": [],
  "reference": "CERTFR-2022-AVI-551",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2022-06-15T00:00:00.000000"
    },
    {
      "description": "Ajout de la version 8.8.15 dans les syst\u00e8mes affect\u00e9s",
      "revision_date": "2022-06-17T00:00:00.000000"
    },
    {
      "description": "Ajout des conseils \u00e9diteur.",
      "revision_date": "2022-06-29T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Zimbra. Certaines\nd\u0027entre elles permettent \u00e0 un attaquant de provoquer un d\u00e9ni de service\n\u00e0 distance, un contournement de la politique de s\u00e9curit\u00e9 et une atteinte\n\u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans Zimbra",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Zimbra 8.8.15 P32 du 14 juin 2022",
      "url": "https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P32"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Zimbra 9.0.0 P25 du 14 juin 2022",
      "url": "https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P25"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.