CVE-2022-41352

Zimbra Collaboration (ZCS) versões 8.8.15 e 9.0

Existe uma vulnerabilidade no Zimbra Collaboration (ZCS) que permite que um invasor faça upload de arquivos arbitrários através do amavis, por meio de uma falha no cpio. Essa falha envolve a extração de arquivos para o diretório /opt/zimbra/jetty/webapps/zimbra/public, podendo levar ao acesso não autorizado a outras contas de usuário. Relatos indicam que essa vulnerabilidade está sendo explorada ativamente. A vulnerabilidade decorre do uso do utilitário de arquivamento cpio, e o Zimbra recomenda o uso do pax em seu lugar. Embora o pax seja um pré-requisito para o Zimbra no Ubuntu, ele não é instalado por padrão no Red Hat Enterprise Linux (RHEL) ou no CentOS versões 6 e posteriores. Uma vez instalado, o amavis prioriza automaticamente o pax em detrimento do cpio.

Para o Zimbra Collaboration (ZCS) versão 8.8.15, instale o pax para substituir o cpio como utilitário de arquivamento preferencial.

Para o Zimbra Collaboration (ZCS) versão 9.0, instale o pax para substituir o cpio como utilitário de arquivamento preferencial.