Datenschutz & Sicherheit

BSI: CERT-Bund bemängelt viele verwundbare Zimbra-Server


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die Groupware Zimbra weist wie jede andere Software regelmäßig Sicherheitslücken auf, die durch aktualisierte Pakete geschlossen werden. So wurde erst diese Woche eine hochriskante Cross-Site-Scripting-Schwachstelle darin bekannt. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) bemängelt jedoch, dass ein großer Anteil der rund 1500 in Deutschland stehenden Zimbra-Server noch einen alten, verwundbaren Softwarestand aufweist.

Weiterlesen nach der Anzeige

Die oberste IT-Sicherheitsbehörde Deutschlands schreibt dort: „Es wird – auch von uns – immer wieder auf Exchange-Server geschimpft, die noch mit veralteten und verwundbaren Versionen laufen“. Bei Alternativen wie Zimbra sehe es besser, aber auch nicht rosig aus. „Von den uns bekannten ca. 1500 Zimbra-Servern in Deutschland laufen aktuell 40% mit einer nicht mehr vom Hersteller unterstützten Version (10.0 und älter) oder sind noch für kritische Schwachstellen wie CVE-2025-68645 verwundbar.“

Zimbra: Aktuelle hochriskante Sicherheitslücken

Bei der genannten Schwachstelle handelt es sich um eine File-Inclusion-Lücke, bei der Angreifer aus dem Netz ohne Anmeldung sorgsam präparierte Anfragen an den API-Endpunkt „/h/rest“ richten und dadurch das Einbinden beliebiger Dateien aus dem Webroot-Verzeichnis erreichen können (CVE-2025-68645, CVSS 8.8, Risiko „hoch“). Betroffen sind Zimbra Collaboration (ZCS) 10.0 und 10.1. Erst in dieser Woche wurde zudem eine Stored-Cross-Site-Scripting-Lücke in der Classic-UI bekannt, die durch die „@import“-Direktive in HTML-E-Mails missbrauchbar ist (CVE-2025-66376, CVSS 7.2, Risiko „hoch“).

Auch diese Lücken betreffen Zimbra Collaboration (ZCS) 10.0 und 10.1, wobei die Zimbra-Versionen 10.0.18 und 10.1.13 aus dem November den sicherheitsrelevanten Fehler ausbessern. Auf diesem Stand sind offenbar lediglich 60 Prozent der Zimbra-Server, wie das BSI nun anmerkt. Admins sollten nicht lange fackeln, sondern zügig auf die jüngsten Versionen aktualisieren.

Über veraltete Exchange-Server beschwert sich das BSI regelmäßig seit vielen Jahren. Zuletzt hat die Behörde Ende Oktober davor gewarnt, dass noch mehr als 30.000 veraltete Exchange-Server mit nicht mehr unterstützten Versionen wie Exchange 2016 und 2019 in Deutschland im Netz erreichbar sind.

Weiterlesen nach der Anzeige


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen