Zimbra: Ajustes de segurança para o exploit “Memcrashed” do memcached

Olá! Nesse artigo gostaria de compartilhar com vocês alguns ajustes de segurança no Zimbra para evitar o exploit “Memcrashed” do serviço Memcache, que é executado pelo serviço de Proxy do Zimbra.

Neste artigo, é explicada a vulnerabilidade chamada de Memcrashed. Recomendo a leitura.

Vamos aos ajustes de segurança no Zimbra !

Para aplicar os ajustes de segurança, é necessário conhecer como o seu ambiente Zimbra está instalado.

Para todos os ambientes que estejam atrás de Firewall, é fundamental que o acesso da Internet para a porta 11211 (TCP e UDP) do servidor Zimbra seja bloqueada.

Por padrão, o serviço do Memcache escuta em todas as interface de rede, para ambientes Single Server, onde todos os serviços estão instalados em um único servidor, o memcache deve ser ajustado para escutar somente na interface local (IP 127.0.0.1):

su – zimbra
/opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1
/opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1

Para ambientes Multi-Server, onde os serviços estão separados em servidores diferentes, as seguintes regras devem ser criadas nos servidores onde o módulo PROXY é executado:

  • Bloquear o acesso da internet para a porta 11211 (TCP e UDP) do(s) servidor(es) PROXY do Zimbra
  • Permitir conexões do endereço de IP local (127.0.0.1)
  • Permitir conexões a partir dos outros servidores PROXY do ambiente

No artigo sobre esta correção na Wiki da Zimbra são fornecidos alguns exemplos para criar a regra utilizando o Iptables ou UFW:

https://wiki.zimbra.com/wiki/Blocking_Memcached_Attack

Anúncios

2 comentários sobre “Zimbra: Ajustes de segurança para o exploit “Memcrashed” do memcached

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s