Angreifer könnten die Groupware Zimbra vollständig kompromittieren, wenn ein bestimmtes Zusatzpaket nicht auf dem Server installiert ist. Die von Zimbra genutzte Software Amavis zum Scannen der E-Mails auf Virenbefall fällt sonst auf eine unsichere Verarbeitungsmethode zurück, durch die bösartige Akteure mit manipulierten E-Mails beliebige Dateien auf dem Server anlegen oder überschreiben können – auch ins Zimbra-Webroot-Verzeichnis. Die Lücke wird offenbar bereits aktiv angegriffen. Zimbra-Admins sollten sicherstellen, den Workaround umzusetzen und das pax-Paket zu installieren. Um komprimierte Dateianhänge an E-Mails auf Schädlinge zu untersuchen, setzt Amavis auf das pax-Paket. Ist das Paket nicht installiert, verwendet Amavis cpio dazu. Die Zimbra-Entwickler erläutern, dass diese Fallback-Funktion jedoch schlecht implementiert sei. Nicht angemeldete Angreifer könnten dadurch mit sorgsam präparierten Mail-Anhängen in den Formaten .cpio, .tar oder .rpm Dateien auf dem Zimbra-Server anlegen und überschreiben und das System so vollständig kompromittieren (CVE-2022-41352, CVSS 9.8, Risiko „kritisch“). Unter Ubuntu gehört das pax-Paket zu den Installations-Abhängigkeiten von Zimbra. Seit Red Hat 6 oder CentOS 6 gehöre pax jedoch nicht mehr zur Standardinstallation, warnen die Entwickler. Sofern pax installiert sei, nutze Amavis es automatisch. Der naheliegende Workaround der Zimbra-Entwickler lautet, das pax- respektive spax-Paket zu installieren, sofern das noch nicht der Fall ist. Das Sicherheitsunternehmen Rapid7 warnt, dass Berichten zufolge die Schwachstelle von Cyberkriminellen bereits aktiv ausgenutzt werde. Administratoren sollten daher zügig prüfen, ob das pax/spax-Paket in ihrer Installation vorhanden ist und es gegebenenfalls schnellstmöglich nachinstallieren.