Podatność XSS w Zimbra 8.8.15

W Zimbra 8.8.15 wykryto podatność XSS, która może potencjalnie mieć wpływ na poufność danych Twojego systemu. Systemowe rozwiązanie będzie dostępne w lipcowym patchu Zimbra, lecz możesz również podjąć ręczne działania już teraz.

Jak usunąć podatność?

Producent deklaruje, że podjął już działania w celu usunięcia problemu. Jednak to rozwiązanie będzie dostępne dopiero w patchu Zimbra.

Aby zagwarantować najwyższy poziom bezpieczeństwa danych Twojego systemu, masz też możliwość podjęcia ręcznego działania. Producent oficjalnie zalecił zmianę parametrów poniżej. Ich aktualizacja powinna uniemożliwić atak poprzez podatność. Twoja infrastruktura nie doświadczy przestoju, ponieważ nie będziesz musiał restartować usługi Zimbra.

Ręczna naprawa

Producent podaje następujące czynności, które należy podjąć na wszystkich węzłach mailbox:

Zrób kopię zapasową pliku /opt/zimbra/jetty/webapps/zimbra/m/momoveto
Możesz użyć komendy: cp /opt/zimbra/jetty/webapps/zimbra/m/momoveto /opt/zimbra/jetty/webapps/zimbra/m/momoveto.bak
Edytuj plik z poprzedniego kroku i udaj się do 40. linijki
Zmień treść linijki z
<input name=”st” type=”hidden” value=”${param.st}”/>
na
<input name=”st” type=”hidden” value=”${fn:escapeXml(param.st)}”/>
Gotowe!

Carbonio

Carbonio CE

SpamTitan

Zimbra

DEMO Carbonio

DEMO SpamTitan

DEMO Zimbra 10.1

7LCLOUD Carbonio

7LCLOUD

Carbonio Wsparcie Serwisowe

Outsourcing IT

Zimbra wsparcie serwisowe

Carbonio dla Firm

Carbonio dla opieki zdrowotnej

Carbonio dla sektora publicznego