BSI: CERT-Bund birçok savunmasız Zimbra sunucusunu eleştiriyor

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

.

Diğer tüm yazılımlar gibi, Zimbra grup yazılımında da düzenli olarak güncellenmiş paketlerle yamalı güvenlik açıkları bulunur. Daha bu hafta, yüksek riskli bir siteler arası komut dosyası çalıştırma güvenlik açığı ortaya çıktı. Ancak Federal Bilgi Güvenliği Dairesi'nin (BSI) CERT derneği, Almanya'daki yaklaşık 1.500 Zimbra sunucusunun büyük bir kısmının hâlâ eski ve savunmasız bir yazılım sürümüne sahip olduğundan şikayet ediyor.

Duyurudan sonra devamını okuyun

Almanya'nın en üst düzey siber güvenlik yetkilisi şöyle yazıyor: “Hala eski ve savunmasız sürümleri çalıştıran Exchange sunucularından sürekli şikayetçiyiz.” Zimbra gibi alternatiflerle işler daha iyi görünüyor ama pembe de değil. “Almanya'daki bildiğimiz yaklaşık 1.500 Zimbra sunucusunun %40'ı şu anda üretici tarafından artık desteklenmeyen bir sürümü (10.0 ve öncesi) kullanıyor veya CVE-2025-68645 gibi kritik güvenlik açıklarına karşı hâlâ savunmasız.”

Zimbra: Mevcut yüksek riskli güvenlik açıkları

Söz konusu güvenlik açığı, ağdan gelen saldırganların oturum açmadan “/h/rest” API uç noktasına özenle hazırlanmış istekler göndererek webroot dizininden rastgele dosya eklemesi elde edebildiği bir dosya ekleme güvenlik açığıdır (CVE-2025-68645, CVSS) 8.8risk”yüksek“). Zimbra Collaboration (ZCS) 10.0 ve 10.1 etkilendi. Daha bu hafta, Klasik kullanıcı arayüzünde, HTML e-postalarındaki “@import” direktifi tarafından kötüye kullanılabilen depolanmış bir siteler arası komut dosyası çalıştırma güvenlik açığı öğrenildi (CVE-2025-66376, CVSS) 7.2risk”yüksek“).

Bu boşluklar aynı zamanda Zimbra Collaboration (ZCS) 10.0 ve 10.1'i de etkiliyor; Kasım ayındaki Zimbra 10.0.18 ve 10.1.13 sürümleri güvenlik hatasını düzeltiyor. Görünüşe göre BSI'ın belirttiği gibi Zimbra sunucularının yalnızca %60'ı bu seviyede. Yöneticilerin uzun süre tereddüt etmemesi, bunun yerine hızlı bir şekilde en son sürümlere güncelleme yapması gerekir.

BSI uzun yıllardan beri düzenli olarak eski Exchange sunucularından şikayetçiydi. En son Ekim ayı sonlarında yetkili, Exchange 2016 ve 2019 gibi artık desteklenmeyen sürümleri olan 30.000'den fazla eski Exchange sunucusunun Almanya'da hâlâ çevrimiçi olarak erişilebilir olduğu konusunda uyardı.

Duyurudan sonra devamını okuyun


(Bilmiyorum)

Yayımlandı

kategorisi

yazarı:

admin

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir