Em um post anterior eu tratei a atualização de segurança para o Heartbleed no Zimbra, agora no dia 05 de Junho de 2014, os mantenedores do OpenSSL divulgaram uma nova correção de segurança para uma vulnerabilidade de CCS Injection descoberta: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
Todas as versões do Zimbra Collaboration 8 são vulneráveis, destacando que se você estiver utilizando versões anteriores a 8.3 há diversas outras correções de segurança, portanto é recomenda a atualização do ambiente. Assim como a falha Heartbleed, somente a versão 1.0.1 da biblioteca OpenSSL é vulnerável, por isso, as versões 6 e 7 do Zimbra não são vulneráveis a estas falhas.
Para aplicar a correção, efetue o Download do script disponibilizado pela equipe do Zimbra para atualizar a biblioteca utilizada pela solução:
http://files.zimbra.com/downloads/security/zmopenssl-updater.sh
Pare o serviço (zmcontrol stop) e execute o “zmopenssl-updater” como usuário root. Para confirmar que a correção foi aplicada, execute “openssl version” como usuário Zimbra e a compilação do Openssl deve ser a partir de 05 de Junho, para a versão 8.0.7 será 1.0.1h de 05 de Junho de 2014, por exemplo. Lembrando que também é fundamental aplicar a correção para a biblioteca OpenSSL utilizado pelo SO.
Referências:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
