Zextras Carbonio Patch: 24.12.1 - aktualizacja bezpieczeństwa

Informujemy, że dostępny jest Patch 24.12.1 dla Carbonio i Carbonio CE. Aktualizacja ta wprowadza ważną poprawkę bezpieczeństwa.

Podatność, którą naprawia najnowszy patch, dotyczy Carbonio 24.12 jak i Carbonio 24.9. Osoba nieuprawniona może użyć jej, aby uzyskać dostęp do konfiguracji i haseł systemowych. Producent zaleca, aby wszyscy użytkownicy dokonali aktualizacji do wersji 24.12.1.

Jedną z przesłanek udanego ataku na system jest obecność niepożądanych kluczy pre-auth. Aby zweryfikować aktualne klucze pre-auth, wykonaj poniższe polecenie jako użytkownik zextras:

carbonio prov -l gad | while read d; do echo gd $d zimbraPreAuthKey; done | carbonio prov -l

Wynik tego polecenia powinien zwrócić wszystkie domeny dodane do serwera bez żadnych dodanych kluczy pre-auth.

Kroki po aktualizacji do 24.12.1

Po przeprowadzeniu aktualizacji producent rekomenduje wykonanie poniższych czynności w celu zabezpieczenia systemu:

1. Zmiana danych uwierzytelniających LDAP i hasła root

Wykonaj następujące polecenia (ciąg znaków „NoweBezpieczneHaslo” zamień na swoje wybrane hasło):

Dla głównego serwera LDAP:

export newLdapPsw="NoweBezpieczneHaslo"
/opt/zextras/bin/zmldappasswd -r $newLdapPsw
/opt/zextras/bin/zmldappasswd -p $newLdapPsw
/opt/zextras/bin/zmldappasswd -b $newLdapPsw
/opt/zextras/bin/zmldappasswd -l $newLdapPsw
/opt/zextras/bin/zmldappasswd -n $newLdapPsw
/opt/zextras/bin/zmldappasswd -a $newLdapPsw
/opt/zextras/bin/zmldappasswd $newLdapPsw
zmcontrol restart
unset newLdapPsw

W przypadku serwera replik LDAP:

export newLdapPsw="NoweBezpieczneHaslo"
zmldappasswd -r $newLdapPsw
zmldappasswd -l -c $newLdapPsw
zmlocalconfig -f -e ldap_amavis_password=$newLdapPsw
zmlocalconfig -f -e ldap_bes_searcher_password=$newLdapPsw
zmlocalconfig -f -e ldap_nginx_password=$newLdapPsw
zmlocalconfig -f -e ldap_postfix_password=$newLdapPsw
zmlocalconfig -f -e ldap_replication_password=$newLdapPsw
zmlocalconfig -f -e zimbra_ldap_password=$newLdapPsw
zmcontrol restart
unset newLdapPsw

Na pozostałych node, w przypadku, gdy dana instalacja Carbonio zawiera więcej niż jedną VM:

export newLdapPsw="NoweBezpieczneHaslo"
zmlocalconfig -f -e ldap_amavis_password=$newLdapPsw
zmlocalconfig -f -e ldap_bes_searcher_password=$newLdapPsw
zmlocalconfig -f -e ldap_nginx_password=$newLdapPsw
zmlocalconfig -f -e ldap_postfix_password=$newLdapPsw
zmlocalconfig -f -e ldap_replication_password=$newLdapPsw
zmlocalconfig -f -e ldap_root_password=$newLdapPsw
zmlocalconfig -f -e zimbra_ldap_password=$newLdapPsw
zmcontrol restart
unset newLdapPsw

2. Usunięcie wszystkich kluczy pre-auth i utworzenie nowych (jeśli to konieczne)

Wykonaj poniższe polecenie, aby usunąć wszystkie klucze pre-auth:

carbonio prov -l gad | while read d; do echo md $d zimbraPreAuthKey \"\"; done | carbonio prov -l

Użytkownicy wersji 24.9

Jeśli korzystasz z wersji Carbonio 24.9, możesz zastosować poniższe polecenia, aby zabezpieczyć system bez pełnej aktualizacji:

Dla Ubuntu 20:

apt install carbonio-appserver-conf=4.17.9-1focal
apt install carbonio-appserver-db=4.17.9-1focal
apt install carbonio-appserver-service=4.17.9-1focal
apt install carbonio-common-appserver-conf=4.17.9-1focal
apt install carbonio-common-appserver-native-lib=4.17.9-1focal
apt install carbonio-directory-server=4.17.9-1focal
apt install carbonio-mailbox-jar=4.17.9-1focal

Dla Ubuntu 22:

apt install carbonio-appserver-conf=4.17.9-1jammy
apt install carbonio-appserver-db=4.17.9-1jammy
apt install carbonio-appserver-service=4.17.9-1jammy
apt install carbonio-common-appserver-conf=4.17.9-1jammy
apt install carbonio-common-appserver-native-lib=4.17.9-1jammy
apt install carbonio-directory-server=4.17.9-1jammy
apt install carbonio-mailbox-jar=4.17.9-1jammy

Pozostałe informacje

Producent sugeruje również, by zaktualizować dane uwierzytelniające w miejscach takich jak:

Buckety S3 (obie strony)
Domeny używające uwierzytelniania zewnętrznego LDAP (obie strony)
Domeny używające auto-provisioning’u z zewnętrznego LDAP (obie strony)
Wideoserwer (obie strony)
Certyfikat SSL globalnego serwera – i unieważnić stare certyfikaty
Certyfikaty domeny – i unieważnić stare certyfikaty
Klucze DKIM domeny (podczas aktualizacji DNS możesz tymczasowo wyłączyć podpis DKIM)

Dobrą praktyką jest blokowanie portu zaplecza administracyjnego Carbonio Admin (6071) na firewallu. Diametralnie zmniejsza ona impact tej podatności, dlatego zalecamy ograniczenie dostępu do portu 6071 tylko dla wybranych i zaufanych adresów IP jako standardową praktykę wpływająca na poprawę bezpieczeństwa każdego systemu.

Dodatkowe informacje znajdziesz w dokumentacji Carbonio i dokumentacji Carbonio CE.

Jeżeli pojawią się w Twojej głowie pytania, nie czekaj i skontaktuj się z nami.

Carbonio

Carbonio CE

SpamTitan

Zimbra

DEMO Carbonio

DEMO SpamTitan

DEMO Zimbra 10.1

7LCLOUD Carbonio

7LCLOUD

Carbonio Wsparcie Serwisowe

Outsourcing IT

Zimbra wsparcie serwisowe

Carbonio dla Firm

Carbonio dla opieki zdrowotnej

Carbonio dla sektora publicznego