Résumé

[MaJ 12 octobre 2022] Un correctif est désormais disponible (cf.section Documentation).

[Publication initiale]

Le 15 septembre 2022, l'éditeur Zimbra a publié un avis de sécuritémentionnant une vulnérabilité dans l'implémentation de cpio par sonmoteur d'antivirus (Amavis). L'outil d'extraction d'archive cpio estutilisé par Zimbra dès lors que l'utilitaire pax n'est pas installé*.*Cette vulnérabilité permet à un attaquant non authentifié de téléverserou écraser un fichier sur le serveur. Par ce biais, l'attaquant à lapossibilité de déposer une porte dérobée afin de pouvoir exécuter ducode arbitraire à distance sur la machine. En effet, si un attaquantenvoie un courriel contenant une archive piégée avec le format .cpio,.rpm ou .tar à une instance de Zimbra ne disposant pas de l'utilitairepax, alors, lors du processus d'extraction par Amavis la vulnérabilitésera déclenchée.

Le 25 septembre, le NIST NVD attribue à cette vulnérabilitél'immatriculation CVE-2022-41352. Cette vulnérabilité est simple àexploiter et pourrait être combinée avec une autre vulnérabilité de typeélévation de privilèges, telle que la CVE-2022-37393, pour prendre lecontrôle total de la machine.

Le CERT-FR a connaissance de cas d'exploitation de cette vulnérabilitéet de codes d'exploitation publiquement disponibles.