Hôm nay tôi nhận được một thông báo về một lỗ hổng XSS trong Zimbra Collaboration Suite phiên bản 8.8.15 đã xuất hiện, có thể ảnh hưởng đến tính bảo mật và toàn vẹn dữ liệu của bạn. Phía Zimbra coi trọng vấn đề này và đã ngay lập tức thực hiện biện pháp để giải quyết vấn đề.
Quan trọng: Lỗ hổng này đã được khai thác tích cực, do đó việc thực hiện biện pháp ngay lập tức là cần thiết. Zimbra khuyến nghị bạn thực hiện để giảm thiểu các rủi ro trên hệ thống mail
Issue Fixed
Vấn đề đã được khắc phục thông qua việc làm sạch đầu vào. Zimbra cũng đã thực hiện kiểm tra nghiêm ngặt để đảm bảo hiệu quả và ổn định của hệ thống. Phiên bản vá sẽ được cung cấp trong bản vá tháng 7.
Các bước thực hiện
- Sao lưu lại file momoveto trước khi chỉnh sửa
cp /opt/zimbra/jetty/webapps/zimbra/m/momoveto /opt/zimbra/jetty/webapps/zimbra/m/momoveto.bak
- Mở file momoveto và thực hiện chỉnh sửa
vi /opt/zimbra/jetty/webapps/zimbra/m/momoveto
Sau đó tìm giá trị ở dòng thứ 40 và sửa lại.
- Giá trị cần tìm
<input name="st" type="hidden" value="${param.st}"/>
- Giá trị cần sửa lại
<input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
Lưu ý: Không cần khởi động lại dịch vụ Zimbra nên bạn có thể thực hiện việc này mà không gây gián đoạn hoạt động.