Hôm nay tôi nhận được một thông báo về một lỗ hổng XSS trong Zimbra Collaboration Suite phiên bản 8.8.15 đã xuất hiện, có thể ảnh hưởng đến tính bảo mật và toàn vẹn dữ liệu của bạn. Phía Zimbra coi trọng vấn đề này và đã ngay lập tức thực hiện biện pháp để giải quyết vấn đề.
Quan trọng: Lỗ hổng này đã được khai thác tích cực, do đó việc thực hiện biện pháp ngay lập tức là cần thiết. Zimbra khuyến nghị bạn thực hiện để giảm thiểu các rủi ro trên hệ thống mail
Issue Fixed
Vấn đề đã được khắc phục thông qua việc làm sạch đầu vào. Zimbra cũng đã thực hiện kiểm tra nghiêm ngặt để đảm bảo hiệu quả và ổn định của hệ thống. Phiên bản vá sẽ được cung cấp trong bản vá tháng 7.
Các bước thực hiện
- Sao lưu lại file momoveto trước khi chỉnh sửa
cp /opt/zimbra/jetty/webapps/zimbra/m/momoveto /opt/zimbra/jetty/webapps/zimbra/m/momoveto.bak- Mở file momoveto và thực hiện chỉnh sửa
vi /opt/zimbra/jetty/webapps/zimbra/m/momovetoSau đó tìm giá trị ở dòng thứ 40 và sửa lại.
- Giá trị cần tìm
<input name="st" type="hidden" value="${param.st}"/>
- Giá trị cần sửa lại
<input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
Lưu ý: Không cần khởi động lại dịch vụ Zimbra nên bạn có thể thực hiện việc này mà không gây gián đoạn hoạt động.
Với kinh nghiệm thực chiến từ việc tiếp xúc hàng ngày với vô vàn vấn đề về Website, Hosting, VPS, Server tại Phòng Kỹ thuật AZDIGI, mình luôn ấp ủ niềm đam mê chia sẻ kiến thức.
Mình xây dựng các blog không chỉ để tự trau dồi kỹ năng mà còn để cung cấp những tài liệu, hướng dẫn hữu ích nhất đến cộng đồng. Rất mong nhận được sự quan tâm của các bạn!
Để lại thông tin, mình sẽ phản hồi ngay.