[Communicatie] Let op: kwetsbaarheid ontdekt in systeem Piratenpartij, wijzig je wachtwoorden

Zo Feb 9 04:33:08 CET 2014

[English translation below]

Deze e-mail is om je te informeren dat bij de Piratenpartij recentelijk
een kwetsbaarheid is gevonden in een van onze systemen, genaamd Zimbra.

----------------------------
Beschrijving van het product
----------------------------
Zimbra is een open-source pakket, dat voornamelijk gebruikt wordt om
mail, kalender en taken te beheren.

---------------------------------
Beschrijving van de kwetsbaarheid
---------------------------------
Door een HTTP request URI aan te passen, is het mogelijk om bestanden op
de harde schijf van de server uit te lezen.

---------------------------
Effect van de kwetsbaarheid
---------------------------
Alles wat zich op deze harde schijf bevondt wordt als gecompromiteerd
beschouwd. Dit zijn:

* LDAP.
LDAP is onze centrale gebruikersdatabase. Het wachtwoord waarmee Zimbra
verbinding maakt met de LDAP-server en door deze database zoekt, is in
platte tekst opgeslagen. Het is het mogelijk dat een kwaadwillende
aanvaller dit wachtwoord heeft misbruikt om gebruikersgegevens te lezen
en te manipuleren.

Voor het overgrote deel van de gebruikers wordt in deze database
opgeslagen: gebruikersnaam, wachtwoord (versleuteld), email, datum van
laatste wijziging wachtwoord, en eventuele toegangsprivileges tot onze
diensten.

* E-mail.
De wachtwoorden en opgeslagen e-mails van e-mailaccounts die aan Zimbra
zijn gekoppeld, zijn mogelijk gecompromitteerd.

* Privesleutel van X.509 certificaat.
De privesleutel van het certificaat met CN 'zimbra.piratenpartij.nl' en
alt. DNS names 'piratenpartij.nl, zimbra.piratenpartij.nl' is mogelijk
gecompromitteerd.

------------------
Ondernomen stappen
------------------
1. Na melding van deze kwetsbaarheid is de server uitgeschakeld.

2. Onze certificate authority (StartSSL) is verzocht het mogelijk
getroffen X.509 certificaat in te trekken.

3. De LDAP-gebruiker 'zimbra' is verwijderd, en de credentials van
andere systeemaccounts zijn gewijzigd.

4. De potentieel buitgemaakte mailbox-wachtwoorden zijn gewijzigd en de
gebruikers individueel op de hoogte gesteld.

---------------------
Advies aan gebruikers
---------------------
Hoewel er geen reden is om aan te nemen dat wachtwoorden van LDAP zijn
buitgemaakt, raden wij aan direct je LDAP-wachtwoord te wijzigen op
<https://pwm.piratenpartij.nl>. Ditzelfde geldt voor gebruikers die een
e-mailaccount gekoppeld hadden aan Zimbra.

Indien je dit wachtwoordt op andere diensten gebruikt, raden wij aan het
wachtwoord tevens bij deze diensten te wijzigen.

---------------------------------------
Technische details van de kwetsbaarheid
---------------------------------------
De technische details betreffende deze kwetsbaarheid zijn te vinden in
een eerdere rapportage, op:
<http://www.zimbra.com/forums/known-issues/67237-security-guidance-reported-0day-exploit.html>

--------------------------------------------------------

[English translation]

This e-mail is to inform you, that a vulnerability has recently been
discovered in one of the Piratenpartij's systems, called Zimbra.

--------------------------
Description of the product
--------------------------
Zimbra is an open-source package, which is primarily used to manage
e-mail, calendar and tasks..

--------------------------------
Description of the vulnerability
--------------------------------
By manipulating a HTTP request URI, it is possible to read files from
the server's hard disk drive.

---------------------------
Effect of the vulnerability
---------------------------
Everything that was present on this hard disk, is considered as
compromised. These are:

* LDAP.
LDAP is our centralized user database. The password with which Zimbra
connects to and searches through the database, was stored in plain text.
It is possible that a malicious attacker has abused this password to
read and manipulate user data.

For the large majority of the users, this information is saved in this
database: username, password (hashed), email, date of last password
change, and optionally any access privileges to our services.

* E-mail.
The passwords and saved e-mails of e-mailaccounts linked to Zimbra, have
been possibly compromised.

* Private key and X.509 certificate.
The private key of the certificate with CN 'zimbra.piratenpartij.nl' and
alt. DNS names 'piratenpartij.nl', 'zimbra.piratenpartij.nl' has been
possibly compromised.

------------
Action taken
------------
1. After receiving the report about this vulnerability, the server has
been disabled.

2. Our certificate authority (StartSSL) has been requested to revoke the
possibly compromised X.509 certificate.

3. The LDAP-user 'zimbra' has been removed, and the credentials of other
system accounts have been changed.

4. The potentially compromised mailbox-passwords have been changed, and
the users have been individually notified.

---------------
Advice to users
---------------
While there is no reason to assume that passwords from LDAP have been
compromised, we recommend to change your LDAP password immediately at
<https://pwm.piratenpartij.nl>. The same goes for users that have
previously linked an e-mail account to Zimbra.

If you use this password on any other services, we recommend to change
the password for these services as well.

--------------------------------------
Technical details of the vulnerability
--------------------------------------
The technical details concerning this vulnerability can be found in an
earlier report, at:
<http://www.zimbra.com/forums/known-issues/67237-security-guidance-reported-0day-exploit.html>