Cập nhật bảo mật cho Zimbra Collaboration Suite phiên bản 8.8.15

7
0

8.8.15 1024x480 1

Hôm nay tôi nhận được một thông báo về một lỗ hổng XSS trong Zimbra Collaboration Suite phiên bản 8.8.15 đã xuất hiện, có thể ảnh hưởng đến tính bảo mật và toàn vẹn dữ liệu của bạn. Phía Zimbra coi trọng vấn đề này và đã ngay lập tức thực hiện biện pháp để giải quyết vấn đề.

Quan trọng: Lỗ hổng này đã được khai thác tích cực, do đó việc thực hiện biện pháp ngay lập tức là cần thiết. Zimbra khuyến nghị bạn thực hiện để giảm thiểu các rủi ro trên hệ thống mail

Issue Fixed

Vấn đề đã được khắc phục thông qua việc làm sạch đầu vào. Zimbra cũng đã thực hiện kiểm tra nghiêm ngặt để đảm bảo hiệu quả và ổn định của hệ thống. Phiên bản vá sẽ được cung cấp trong bản vá tháng 7.

Các bước thực hiện

  • Sao lưu lại file momoveto trước khi chỉnh sửa
cp /opt/zimbra/jetty/webapps/zimbra/m/momoveto /opt/zimbra/jetty/webapps/zimbra/m/momoveto.bak
  • Mở file momoveto và thực hiện chỉnh sửa
vi /opt/zimbra/jetty/webapps/zimbra/m/momoveto

Sau đó tìm giá trị ở dòng thứ 40 và sửa lại.

  • Giá trị cần tìm
<input name="st" type="hidden" value="${param.st}"/>
CleanShot 2023 07 18 at 10.51.15
  • Giá trị cần sửa lại
<input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
CleanShot 2023 07 18 at 10.51.52

Lưu ý: Không cần khởi động lại dịch vụ Zimbra nên bạn có thể thực hiện việc này mà không gây gián đoạn hoạt động.

Đỗ Trung Quân
WRITTEN BY

Đỗ Trung Quân

Nguồn nội dung này đến từ Website DoTrungQuan.info

Trả lời