Em um post anterior eu tratei a atualização de segurança para o Heartbleed no Zimbra, agora no dia 05 de Junho de 2014, os mantenedores do OpenSSL divulgaram uma nova correção de segurança para uma vulnerabilidade de CCS Injection descoberta: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

Todas as versões do Zimbra Collaboration  8 são vulneráveis, destacando que se você estiver utilizando versões anteriores a 8.3 há diversas outras correções de segurança, portanto é recomenda a atualização do ambiente. Assim como a falha Heartbleed, somente a versão 1.0.1 da biblioteca OpenSSL é vulnerável, por isso, as versões 6 e 7 do Zimbra não são vulneráveis a estas falhas.

Para aplicar a correção, efetue o Download do script disponibilizado pela equipe do Zimbra para atualizar a biblioteca utilizada pela solução:

http://files.zimbra.com/downloads/security/zmopenssl-updater.sh

Pare o serviço (zmcontrol stop) e execute o “zmopenssl-updater” como usuário root. Para confirmar que a correção foi aplicada, execute “openssl version” como usuário Zimbra e a  compilação do Openssl deve ser a partir de 05 de Junho, para a versão 8.0.7 será  1.0.1h de 05 de Junho de 2014, por exemplo. Lembrando que também é fundamental aplicar a correção para a biblioteca OpenSSL utilizado pelo SO.

Referências:

http://www.zimbra.com/forums/announcements/73677-20140606-zimbra-security-advisory-cve-2014-0224-ccs-injection-vulnerability.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224