Zimbra是一套开源协同办公套件,包括WebMail、日历、通信录、Web文档管理和创作。它通过将终端用户的信息和活动连接到私有云中,为用户提供了最具创新性的消息接收体验,因此每天有超过20万家企业和1000多家政府、金融机构使用Zimbra与数百万用户交换电子邮件。
SonarSource的专家近期披露了开源 Zimbra代码中的两个漏洞。这些漏洞可能使未经身份验证的攻击者破坏目标企业的Zimbra网络邮件服务器。借此,攻击者就可以不受限制的访问所有员工通过Zimbra传输的电子邮件内容。
CVE-2021-35208(CVSS评分:5.4)——跨站脚本错误(XSS)
CVE-2021-35209(CVSS评分:6.1)——服务器端请求伪造漏洞(SSRF)
安全专家表示,当用户浏览查看Zimbra传入的电子邮件时,就会触发跨站点脚本(CVE-2021-35208)漏洞。
恶意电子邮件会包含一个精心设计的JavaScript有效负载,当该负载被执行时,攻击者将能够访问受害者所有的电子邮件(除了他们的WEBmail会话)。并获取受害者在Zimbra组件中其它功能的访问权限,发起进一步的攻击。
另一个服务器端请求伪造漏洞 (CVE-2021-35209) ,绕过了访问控制的允许列表,导致强大的服务器端请求伪造。研究人员指出,该漏洞可以被任何权限角色的经过身份验证的组织成员利用。
上述情况说明了一个这样的事实:基于Ajax、静态HTML和移动优化的Zimbra网页客户端,以一种使破坏者注入恶意的JavaScript代码的方式,执行清除服务器端接收邮件中的HTML内容。
SSRF漏洞已经成为一个越来越危险的威胁类别,对云本地应用尤甚。之所以强大一是因为它可以在传出请求中设置任意标头,其次是可以读取响应内容。
如果Zimbra实例托管在云供应商处,可以从托管服务器的VM访问元数据API,则可能会泄漏高敏感信息。
安全专家指出,通过禁止HTTP请求处理程序执行重定向的方式来减轻SSRF攻击。建议验证Location响应报头的值,并在它被验证后创建新的请求。这样可以保护开放的重定向漏洞。XSS攻击也可以通过完全删除转换表单标签的代码的方式来修复。
Zimbra团队修复了8.8.15系列的Patch 18和9.0系列的Patch 16的所有问题,这两个分支的早期版本都有脆弱性漏洞。
随着虚拟化协同办公发展的深入,国内的开源协同办公软件也逐渐成熟起来,然而Zimbra漏洞的披露彰显了软件供应链安全的脆弱性。这一事件也提醒我们,软件供应链安全的提升需要从两个维度出发,其一,对于软件供应商来说,通过软件开发安全的相关流程来增强软件安全性变得愈加重要;其二,对于软件使用者,企业要提升员工的安全意识,软件产品的稳定性和安全性不是坚不可摧的,我们在使用过程中对于一些“可疑”的使用情况要提高警惕性。另一方面,Zimbra对漏洞的处理方式也为我们在网络安全领域方面的发展提供了参考价值和借鉴意义。[来源:安全牛]
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...