Obrazek wyróżniający

Podatność XSS w Zimbra 8.8.15

W Zimbra 8.8.15 wykryto podatność XSS, która może potencjalnie mieć wpływ na poufność danych Twojego systemu. Systemowe rozwiązanie będzie dostępne w lipcowym patchu Zimbra, lecz możesz również podjąć ręczne działania już teraz.

Jak usunąć podatność?

Producent deklaruje, że podjął już działania w celu usunięcia problemu. Jednak to rozwiązanie będzie dostępne dopiero w patchu Zimbra.

Aby zagwarantować najwyższy poziom bezpieczeństwa danych Twojego systemu, masz też możliwość podjęcia ręcznego działania. Producent oficjalnie zalecił zmianę parametrów poniżej. Ich aktualizacja powinna uniemożliwić atak poprzez podatność. Twoja infrastruktura nie doświadczy przestoju, ponieważ nie będziesz musiał restartować usługi Zimbra.

Ręczna naprawa

Producent podaje następujące czynności, które należy podjąć na wszystkich węzłach mailbox:

  1. Zrób kopię zapasową pliku /opt/zimbra/jetty/webapps/zimbra/m/momoveto
    Możesz użyć komendy: cp /opt/zimbra/jetty/webapps/zimbra/m/momoveto /opt/zimbra/jetty/webapps/zimbra/m/momoveto.bak
  2. Edytuj plik z poprzedniego kroku i udaj się do 40. linijki
  3. Zmień treść linijki z
    <input name=”st” type=”hidden” value=”${param.st}”/>
    na
    <input name=”st” type=”hidden” value=”${fn:escapeXml(param.st)}”/>
  4. Gotowe!