Хакер #305. Многошаговые SQL-инъекции
Разработчики Zimbra призывают администраторов вручную исправить уязвимость нулевого дня, которая уже активно используется хакерами для взлома почтовых серверов Zimbra Collaboration Suite (ZCS).
«В Zimbra Collaboration Suite версии 8.8.15 обнаружена уязвимость, которая может повлиять на конфиденциальность и целостность ваших данных. Исправление для этой уязвимости войдет в состав июльского патча», — сообщают в компании, при этом не упоминая, что проблема уже используется злоумышленниками.
Так как патча пока нет, администраторам предлагается временно защищаться вручную. Для этого рекомендуется предпринять следующие меры:
- создать резервную копию файла /opt/zimbra/jetty/webapps/zimbra/m/momoveto;
- отредактировать этот файл и перейти к строке номер 40;
- обновить значение параметра до <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>;
- до обновления строка должна отображаться как <input name="st" type="hidden" value="${param.st}"/>.
Включение функции escapeXml() будет очищать введенные пользователями данные путем экранирования специальных символов, используемых в разметке XML. Отмечается, что исправление не требуется перезапуска службы Zimbra.
В настоящее время уязвимость еще не получила идентификатор CVE, но известно, что это XSS-баг, обнаруженный специалистами из команды Google Threat Analysis Group.
Хотя Zimbra не сообщает о том, что проблема уже используется в атаках, об этом предупреждает Мэдди Стоун (Maddie Stone) из Google TAG. По ее словам, XSS-уязвимость была обнаружена специалистами именно в ходе изучения таргетированной кибератаки.