Zimbra是一套开源协同办公套件,包括WebMail、日历、通信录、Web文档管理和创作。它通过将终端用户的信息和活动连接到私有云中,为用户提供了最具创新性的消息接收体验,因此每天有超过20万家企业和1000多家政府、金融机构使用Zimbra与数百万用户交换电子邮件。
SonarSource的专家近期披露了开源 Zimbra代码中的两个漏洞。这些漏洞可能使未经身份验证的攻击者破坏目标企业的Zimbra网络邮件服务器。借此,攻击者就可以不受限制的访问所有员工通过Zimbra传输的电子邮件内容。
CVE-2021-35208(CVSS评分:5.4)——跨站脚本错误(XSS)
CVE-2021-35209(CVSS评分:6.1)——服务器端请求伪造漏洞(SSRF)
安全专家表示,当用户浏览查看Zimbra传入的电子邮件时,就会触发跨站点脚本(CVE-2021-35208)漏洞。
恶意电子邮件会包含一个精心设计的JavaScript有效负载,当该负载被执行时,攻击者将能够访问受害者所有的电子邮件(除了他们的WEBmail会话)。并获取受害者在Zimbra组件中其它功能的访问权限,发起进一步的攻击。
另一个服务器端请求伪造漏洞 (CVE-2021-35209) ,绕过了访问控制的允许列表,导致强大的服务器端请求伪造。研究人员指出,该漏洞可以被任何权限角色的经过身份验证的组织成员利用。
上述情况说明了一个这样的事实:基于Ajax、静态HTML和移动优化的Zimbra网页客户端,以一种使破坏者注入恶意的JavaScript代码的方式,执行清除服务器端接收邮件中的HTML内容。
SSRF漏洞已经成为一个越来越危险的威胁类别,对云本地应用尤甚。之所以强大一是因为它可以在传出请求中设置任意标头,其次是可以读取响应内容。
如果Zimbra实例托管在云供应商处,可以从托管服务器的VM访问元数据API,则可能会泄漏高敏感信息。
安全专家指出,通过禁止HTTP请求处理程序执行重定向的方式来减轻SSRF攻击。建议验证Location响应报头的值,并在它被验证后创建新的请求。这样可以保护开放的重定向漏洞。XSS攻击也可以通过完全删除转换表单标签的代码的方式来修复。
Zimbra团队修复了8.8.15系列的Patch 18和9.0系列的Patch 16的所有问题,这两个分支的早期版本都有脆弱性漏洞。
随着虚拟化协同办公发展的深入,国内的开源协同办公软件也逐渐成熟起来,然而Zimbra漏洞的披露彰显了软件供应链安全的脆弱性。这一事件也提醒我们,软件供应链安全的提升需要从两个维度出发,其一,对于软件供应商来说,通过软件开发安全的相关流程来增强软件安全性变得愈加重要;其二,对于软件使用者,企业要提升员工的安全意识,软件产品的稳定性和安全性不是坚不可摧的,我们在使用过程中对于一些“可疑”的使用情况要提高警惕性。另一方面,Zimbra对漏洞的处理方式也为我们在网络安全领域方面的发展提供了参考价值和借鉴意义。[来源:安全牛]
局域网监控软件可以监控外网吗?一文解析
如今,随着数字办公的日益普及,局域网监控软件已经成为企业网络管理不可或缺的一部分。然而,局域网监控软件能否监控外网一直困扰着许多企业网络工程师。本文将深入探讨这一问题,分析局域网监控软件在外网监控中能力与局限性。一、局域网监控软件的主要功能局域网监控软件是一种基于桌面管理软件和监控系统的综合监控工具。它通常具有以下基本...
安企神网络安全准入系统
安企神软件网络安全准入系统是一种高效、灵活、易于管理的网络密钥管理解决方案,旨在为公司网络环境提供全面的安全保障。通过身份认证、健康体检和安全设置评定,此系统保证只有授权的设备与用户才能浏览公司的内部网络资源,进而最大限度地降低安全隐患。一、网络安全准入系统主要功能1、用户身份认证安企神网络准入系统选用严格的身份认证机...
网络准入设备:守护企业数字资产的第一道防线
在数字时代,公司网络如同公司的神经系统,连接着每个业务单元,背负着数据的流动与价值的转换。但是,随着网络环境的日益繁杂,网络威协也非常大。怎样确保公司网络的安全平稳已成为每家企业必须面对的挑战。做为这条防线的门将,网络准入设备发挥了越来越重要的作用。一、什么叫网络准入设备?网络准入设备是一种专门给控制和管理网络设备访问...
企业数据防泄密软件有哪些?企业数据防泄密软件大盘点
在当今数字时代,公司数据的安全至关重要。为了保护公司的核心资产和客户资料免遭威胁,很多企业都在寻找高效的数据防泄密软件。今天我们就来盘点一下市场上广受好评的几款公司数据防泄密软件,帮助大家更好的了解和选择适合自己公司的防泄漏解决方案。一、安企神软件安企神软件集数据加密、密钥管理、行为审计等多种功能于一体,为用户提供全方...
揭秘数据加密系统的加密过程
在数字时代,数据安全已是企业和个人不可忽视一个重要难题。数据加密系统做为数据安全重要防御,在加密过程中非常重要。本文将详尽揭露数据加密的全面加密过程,以帮助您更好的了解这一关键要素。一、数据加密系统的前提数据加密系统通常包括三个核心部分:加密算法、密钥管理与信息加密破译过程。加密算法是数据加密的关键,它决定了如何把明文...