Em uma dica anterior, eu tratei da atualização de segurança para o Heartbleed no Zimbra, agora, no dia 05 de Junho de 2014, os mantenedores do OpenSSL divulgaram uma nova correção de segurança para uma vulnerabilidade de CCS Injection descoberta:

• CVEname.cgi

Todas as versões do Zimbra Collaboration 8 são vulneráveis, destacando que, se você estiver utilizando versões anteriores à 8.3, há diversas outras correções de segurança, portanto, é recomendada a atualização do ambiente.

Assim como a falha Heartbleed, somente a versão 1.0.1 da biblioteca OpenSSL é vulnerável, por isso, as versões 6 e 7 do Zimbra não são vulneráveis a estas falhas.

Para aplicar a correção, efetue o download do script disponibilizado pela equipe do Zimbra, para atualizar a biblioteca utilizada pela solução:

• zimbra.com → zmopenssl-updater.sh

Pare o serviço (zmcontrol stop) e execute o zmopenssl-updater como usuário root.

Para confirmar que a correção foi aplicada, execute openssl version como usuário Zimbra e a compilação do OpenSSL deve ser a partir de 05 de Junho. Para a versão 8.0.7, será 1.0.1h de 05 de Junho de 2014, por exemplo.

* Lembrando que também é fundamental aplicar a correção para a biblioteca OpenSSL utilizada pelo S.O.

Referências

• zimbra.com « Zimbra Security Advisory
• CVE -

Obrigado,
Respirando Linux, por Fabio Soares Schmidt.