Synthèse
Des mises à jour de sécurité ont été publiées pour corriger plusieurs vulnérabilités trouvées dans les versions Joule, Kepler et Daffodil de Zimbra Collaboration Suite (ZCS), une plateforme de collaboration par courrier électronique populaire développée par Synacor Inc.
Remarque (mise à jour le 30/09/2024) : Une preuve de concept (PoC) pour l’exploitation de la vulnérabilité CVE-2024-45519 est disponible en ligne.
Remarque (mise à jour le 10/02/2024) : la vulnérabilité CVE-2024-45519 semble être activement exploitée en ligne. Risque (mis à jour le 30/09/2024).
Impact estimé de la limitation sur la communauté de référence : SÉVÈRE/ROUGE (79,23/100) 1.
Typologie
- Exécution de code arbitraire
- Manipulation des données
- Divulgation d’informations
- Bypass des restrictions de sécurité
Produits et versions concernés
Zimbra
- Daffodil Collaboration 10.1.x, versions antérieures à 10.1.1
- Daffodil Collaboration 10.0.x, versions antérieures à 10.0.9
- Kepler Collaboration 9.x, versions antérieures à 9.0.0 Patch 41
- Collaboration Joule 8.8.x, versions antérieures à 8.8.15 Patch 46
Mesures d’atténuation
Nous vous recommandons de mettre à jour les produits vulnérables vers la dernière version disponible en suivant les instructions fournies par le fournisseur pour chaque produit concerné et signalées dans les bulletins de sécurité disponibles dans la section Références.
Identificateurs de faiblesses uniques
Références
https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.1
https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.9
https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P46
https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P41
1 Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.