Olá ! Este artigo, como pode ser observado pelo título do mesmo, contempla três tópicos, pois os considero relacionados:
- Porque atualizar para a versão 8.7?
- O Zimbra é afetado pela vulnerabilidade OpenSSL Padding Oracle (CVE-2016-2107) ?
- Instalei um certificado válido? Estou seguro?
Vamos começar falando da versão 8.7, que foi lançada em Julho deste ano.
Muitos têm se perguntado se devem atualizar seu ambiente Zimbra para a versão 8.7. A minha resposta é sim, você deve atualizar o seu ambiente para a versão 8.7. Obviamente, como qualquer atualização de versão de uma solução, diversos fatores devem ser levados em consideração, portanto, não estando alheio do esforço que é empregado em uma atualização, que as vezes pode envolver uma migração, especialmente por questões de segurança, performance e recursos, a atualização para a versão 8.7 traz muitas vantagens.
Algumas novidades da versão 8.7:
- O Postscreen foi adicionado ao serviço MTA, adicionando uma camada muito importante para filtragem de e-mails, com melhorias em segurança, redução de mensagens indesejadas e consumo de recursos.
- Implementação integral do SSL SNI, que permite a distribuição de certificados independentes para cada domínio.
- Autenticação de dois fatores, para usuários da versão Network.
- Novo sistema para distribuição dos pacotes através de repositórios.
Esse tópico leva ao segundo, que é se o Zimbra é afetado pela vulnerabilidade OpenSSL Padding Oracle (CVE-2016-2107).
Sim, as versões 8.0 e 8.6 do Zimbra são afetadas por esta vulnerabilidade, nos serviços MTA e PROXY. Está previsto que seja efetuada a correção para a versão 8.6 em uma próxima release – 8.6.1, porém, até o momento esta versão ainda não foi lançada e o último patch (7) não contempla uma correção. Existe um “workaround” para aplicar a correção nas versões afetadas: https://wiki.zimbra.com/wiki/Security_Center
A versão 8.7 já contempla as correções para eliminar esta vulnerabilidade, portanto, é mais um argumento para atualizar o ambiente ! Destacando que algumas releases da versão 8.0 também são vulneráveis a ataques como o Poodle, Logjam e Heartbleed.
Por último, vejo que muitos possuem a impressão que instalar um certificado válido no Zimbra faz com que o ambiente esteja seguro.
Instalar um certificado válido aumenta sim a segurança da conexão, porém não elimina falhas de segurança, especialmente as vulnerabilidades como Poodle, Heartbleed, Openssl Padding, dentre muitas outras, que exploram o protocolo em si. Portanto, para garantir que o seu ambiente Zimbra está seguro, recomendo, além da implementação de um certificado válido, a atualização para a versão 8.7.
É possível testar a segurança do Zimbra (HTTPS) através do teste SSL da SSL LABS: https://www.ssllabs.com/ssltest.
Veja também:
https://respirandolinux.com.br/2016/08/28/zimbra-8-7-obtendo-a-no-teste-de-seguranca-ssl-labs/
2 comentários sobre “Zimbra: Porque atualizar para a versão 8.7 / OpenSSL Padding Oracle? / Instalei um certificado válido, estou seguro?”