Zimbra устранила уязвимость, ведущую к отказу в обслуживании

Zimbra

Компания Synacor выпустила обновление 10.1.18 для корпоративной почтовой платформы Zimbra Daffodil. В составе патча закрыта уязвимость CVE-2026-49975, которая позволяет удалённо вызвать отказ в обслуживании через вредоносные HTTP-запросы. Проблеме присвоен высокий уровень опасности - 7,5 балла по шкале CVSS, хотя вендор классифицировал риск как средний.

Детали уязвимости

Уязвимость затрагивает серверную компоненту Zimbra, отвечающую за обработку входящих HTTP-запросов. Злоумышленник, не имеющий аутентификации на системе, мог отправить специально сформированный сетевой пакет, который приводит к исчерпанию ресурсов приложения. В случае успешной эксплуатации почтовый сервер перестаёт отвечать на легитимные запросы пользователей, что нарушает работу почты, календарей и функций совместной работы.

Проблема затрагивает все инсталляции Zimbra Daffodil до версии 10.1.18 включительно. Учитывая, что платформа широко используется в корпоративном и государственном секторах, потенциальным последствием атаки может стать длительный простой критически важных коммуникаций. Для организаций, которые используют Zimbra в качестве основного почтового решения, DoS-атака (атака типа "отказ в обслуживании") способна полностью парализовать внутренний и внешний документооборот.

В официальном бюллетене производитель отметил, что обновление включает "улучшения для повышения устойчивости системы и защиты от потенциальных условий отказа в обслуживании".

Помимо исправления критической уязвимости, патч 10.1.18 устраняет ошибку в модуле лицензирования. Ранее учётные записи, привязанные к классу обслуживания (Class of Service, COS) по умолчанию, некорректно учитывались в лимитах на проприетарные функции - такие как MAPIConnector, MobileSync и EWS. Система генерировала ложные оповещения о превышении лицензионных квот, хотя соответствующие возможности не были активированы. Исправление приводит подсчёт к фактическому состоянию.

Набор пакетов обновления включает компоненты для всех ключевых служб: почтового агента (MTA), прокси-сервера, LDAP-каталога и интеграции с OnlyOffice. В частности, обновлены версии nginx до 1.24.0 и библиотеки прокси-компонентов. Администраторам рекомендуется установить патч в соответствии с инструкцией производителя, доступной на вики-странице проекта. В качестве временной меры защиты до установки патча можно рассмотреть ограничение входящего трафика на уровне сетевого экрана, однако полное устранение уязвимости обеспечивает только установка обновления.

Выпуск патча 10.1.18 продолжает серию обновлений Zimbra, направленных на укрепление безопасности. Ранее в этом году Synacor уже закрывала несколько уязвимостей, связанных с межсайтовым скриптингом и выполнением произвольного кода. Текущая проблема подтверждает тенденцию: злоумышленники всё чаще нацеливаются на корпоративную инфраструктуру через векторы, не требующие аутентификации.

Ссылки

Комментарии: 0