概要
Zimbraは公式に重大なセキュリティアップデート、バージョン10.1.16をリリースし、メールインフラストラクチャとユーザーデータの侵害リスクを高める複数の深刻度が高い脆弱性に対処しました。このパッチには「High」のセキュリティ深刻度が付与されており、管理者はアップデートを優先的に実施してウェブベース攻撃に関連するリスクを軽減することを強く推奨されています。
脆弱性詳細
Zimbraのこのセキュリティ更新プログラムでは、主にインジェクションフローとスクリプト脆弱性に対処しています。以下は主要な脆弱性の概要です:
- Cross-Site Scripting (XSS) – 高度な深刻度:Zimbra WebmailおよびBriefcaseファイル共有コンポーネント内のスクリプト実行を許可する脆弱性。
- LDAP Injection – 高度な深刻度:不適切な入力の検証不足により認証されたユーザーがLDAPクエリを操作できる脆弱性。
- XML External Entity (XXE) – 高度な深刻度:EWS SOAPエンドポイント内でXMLデータ処理に干渉する可能性のある脆弱性。
- Cross-Site Request Forgery (CSRF) Bypass – 中程度の深刻度:適切なトークン検証が追加され、不正なコマンドの送信を防ぐための保護強化。
XSSとLDAPインジェクション脆弱性の修正
このリリースで最も重要な修正は、クロスサイトスクリプティング(XSS)およびLDAPインジェクションの脆弱性に対するものです。エンジニアリングチームはZimbra WebmailとBriefcaseファイル共有コンポーネント内のXSS脆弱性を解決し、攻撃者がユーザーのブラウザセッションで悪意のあるスクリプトを実行する可能性を排除しました。
LDAPインジェクション脆弱性の修正
Zimbraは認証されたLDAPインジェクション脆弱性に対処し、入力検証を改善することで、認証ユーザーがLDAPクエリを操作する能力を無効化しました。
XML外部エンティティ(XXE)の修正
EWS SOAPエンドポイント内の重要なXML外部エンティティ(XXE)脆弱性もこの更新プログラムで解決されました。XXE脆弱性は特に危険であり、アプリケーションがXMLデータを処理する際に内部ファイルやサーバー側リクエストフォージェリーの漏洩につながる可能性があります。
その他の改善点
Zimbra 10.1.16は、バックアップと復元モジュールに大幅な改善を加えました。これにはzstd圧縮と強化されたデュプリケーションが含まれており、ストレージ消費量を最大45%削減することが可能です。
注意点
Zimbraはこれらの変更の包括性から「High」の展開リスクを指摘しています。管理者はパッチ適用前に標準的なバックアップ手順に従うことを推奨します。