Zimbra: Porque atualizar para a versão 8.7 / OpenSSL Padding Oracle? / Instalei um certificado válido, estou seguro?

zimbra-no-lettermark - Copydownload

Olá ! Este artigo, como pode ser observado pelo título do mesmo, contempla três tópicos, pois os considero relacionados:

  • Porque atualizar para a versão 8.7?
  • O Zimbra é afetado pela vulnerabilidade OpenSSL Padding Oracle (CVE-2016-2107) ?
  • Instalei um certificado válido? Estou seguro?

Vamos começar falando da versão 8.7, que foi lançada em Julho deste ano.

Muitos têm se perguntado se devem atualizar seu ambiente Zimbra para a versão 8.7. A minha resposta é sim, você deve atualizar o seu ambiente para a versão 8.7. Obviamente, como qualquer atualização de versão de uma solução, diversos fatores devem ser levados em consideração, portanto, não estando alheio do esforço que é empregado em uma atualização, que as vezes pode envolver uma migração, especialmente por questões de segurança, performance e recursos, a atualização para a versão 8.7 traz muitas vantagens.

Algumas novidades da versão 8.7:

  • O Postscreen foi adicionado ao serviço MTA, adicionando uma camada muito importante para filtragem de e-mails, com melhorias em segurança, redução de mensagens indesejadas e consumo de recursos.
  • Implementação integral do SSL SNI, que permite a distribuição de certificados independentes para cada domínio.
  • Autenticação de dois fatores, para usuários da versão Network.
  • Novo sistema para distribuição dos pacotes através de repositórios.

Esse tópico leva ao segundo, que é se o Zimbra é afetado pela vulnerabilidade OpenSSL Padding Oracle (CVE-2016-2107). 

Sim, as versões 8.0 e 8.6 do Zimbra são afetadas por esta vulnerabilidade, nos serviços MTA e PROXY. Está previsto que seja efetuada a correção para a versão 8.6 em uma próxima release – 8.6.1, porém, até o momento esta versão ainda não foi lançada e o último patch (7) não contempla uma correção. Existe um “workaround” para aplicar a correção nas versões afetadas: https://wiki.zimbra.com/wiki/Security_Center

A versão 8.7 já contempla as correções para eliminar esta vulnerabilidade, portanto, é mais um argumento para atualizar o ambiente ! Destacando que algumas releases da versão 8.0 também são vulneráveis a ataques como o Poodle, Logjam e Heartbleed.

Por último, vejo que muitos possuem a impressão que instalar um certificado válido no Zimbra faz com que o ambiente esteja seguro.

Instalar um certificado válido aumenta sim a segurança da conexão, porém não elimina falhas de segurança, especialmente as vulnerabilidades como Poodle, Heartbleed, Openssl Padding, dentre muitas outras, que exploram o protocolo em si. Portanto, para garantir que o seu ambiente Zimbra está seguro, recomendo, além da implementação de um certificado válido, a atualização para a versão 8.7.

É possível testar a segurança do Zimbra (HTTPS) através do teste SSL da SSL LABS: https://www.ssllabs.com/ssltest.

Veja também:

https://respirandolinux.com.br/2016/08/28/zimbra-8-7-obtendo-a-no-teste-de-seguranca-ssl-labs/

 

Anúncios

2 comentários sobre “Zimbra: Porque atualizar para a versão 8.7 / OpenSSL Padding Oracle? / Instalei um certificado válido, estou seguro?

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s