Multiples vulnérabilités dans la suite collaborative Zimbra

31 Mai 2023 | Sécurité

Multiples vulnérabilités dans la suite collaborative Zimbra
p

Si vous n'utilisez pas la suite Zimbra collaboration, vous n'êtes pas concerné par ce message

p

Si votre suite Zimbra est infogérée par les services d'Icodia, ne vous faites pas de souci nous avons appliqué les correctifs.

L’équipe de Zimbra vient de publier une mise à jour qui corrige de multiples vulnérabilités, dont une d’importance élevée.

Il est par conséquent important de mettre à jour votre architecture au plus vite.

Les failles de sécurité découvertes dans la suite collaborative Zimbra permettent à un attaquant de procéder au contournement de la politique de sécurité de Zimbra et à l’injection indirecte de code à distance (XSS). Un autre risque de sécurité, non décrit par l’éditeur, existe également.

L’éditeur a par conséquent publié trois bulletins de sécurité décrivant, pour chaque branche concernée, les mesures à mettre en œuvre pour patcher la solution.

Versions affectées :

Les vulnérabilités concernent :

  • Zimbra Collaboration (Daffodil) versions 10.0.x antérieures à 10.0.1
  • Zimbra Collaboration (Kepler) 9.0.0 qui ne disposent pas du correctif de sécurité Patch 33 GA
  • Zimbra Collaboration (Joule) 8.8.15 qui ne disposent pas du correctif de sécurité Patch 40 GA

 Pour obtenir et appliquer les correctifs :

En fonction de la branche concernée, vous pouvez consulter les bulletins de sécurité de Zimbra :

Note : L’application des correctifs requiert notamment la mise à jour de composants Apache et nécessite un redémarrage du serveur.

  • Apache de 2.4.54 à 2.4.57
  • Apache CXF de 3.5.1 à 3.5.5
  • Spring Core package de 5.3.18 à 6.0.8

 

Vous n’êtes pas en mesure d’effectuer cette mise à jour ?

Contactez l’administrateur de votre système, ou encore notre service technique qui pourra étudier avec vous une solution pour vous accompagner dans ces opérations.