CVE-2024-45519

Synacor Zimbra Collaboration Suite (ZCS)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-10-03

Официальное описание

Synacor Zimbra Collaboration Suite (ZCS) contains an unspecified vulnerability in the postjournal service that may allow an unauthenticated user to execute commands.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-45519 представляет собой критическую уязвимость типа RCE (Remote Code Execution) в сервисе postjournal программного обеспечения Zimbra Collaboration Suite. Проблема вызвана некорректной обработкой входных данных в компоненте, отвечающем за журналирование почтовых сообщений.

Неавторизованный злоумышленник может отправить специально сформированный запрос на порт сервиса postjournal (обычно TCP 10027), что позволяет внедрить и выполнить произвольные системные команды с привилегиями пользователя zimbra. Уязвимость представляет высокую опасность, так как не требует аутентификации и позволяет полностью скомпрометировать почтовый сервер.

Как исправить

Основным способом устранения уязвимости является обновление Zimbra Collaboration Suite до актуальных версий, в которых данная брешь была закрыта.

  1. Проверьте текущую версию Zimbra:
su - zimbra -c "zmcontrol -v"
  1. Установите исправления в зависимости от вашей ветки:
  2. Для версии 10.1: обновитесь до 10.1.1
  3. Для версии 10.0: установите Patch 10
  4. Для версии 9.0: установите Patch 41

  5. Для версии 8.8.15: установите Patch 46

  6. Процедура обновления (выполняется от пользователя root):

apt-get update && apt-get upgrade

или (для RHEL/CentOS):

yum update
  1. Перезапустите сервисы Zimbra:
su - zimbra -c "zmcontrol restart"

Временные меры

Если немедленное обновление невозможно, необходимо отключить уязвимый сервис или ограничить к нему доступ.

  1. Отключите сервис postjournal (рекомендуется, если вы не используете функционал архивации через этот сервис):
su - zimbra -c "zmlocalconfig -e postjournal_enabled=false"


su - zimbra -c "zmcontrol restart"
  1. Настройте межсетевой экран (Firewall), чтобы заблокировать доступ к порту 10027 для внешних сетей. Разрешите подключения только с доверенных IP-адресов (например, с самого сервера или доверенных шлюзов):
iptables -A INPUT -p tcp --dport 10027 -s 127.0.0.1 -j ACCEPT


iptables -A INPUT -p tcp --dport 10027 -j DROP
  1. Проверьте конфигурацию mynetworks в Postfix, чтобы убедиться, что только доверенные хосты могут взаимодействовать с почтовыми компонентами:
su - zimbra -c "zmprov gs $(zmhostname) zimbraMtaMyNetworks"
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей