Zimbra: Corrigindo a vulnerabilidade CVE-2022-24682 (Zero-day XSS Vulnerability)

Olá! Recentemente foi divulgada uma vulnerabilidade XSS que afeta todas as versões do Zimbra, exceto a última versão da edição NETWORK, que é a 9.0.

Para quem está utilizando a versão 8.8.15, seja Open Source ou Network Edition, a Zimbra publicou o patch 30 com a correção. Porém, se você está utilizando um sistema operacional fora de suporte (RHEL/CentOS 6 por exemplo), para aplicar a correção é necessário aplicar um hotfix, conforme os passos abaixo.

Apenas algumas informações importações sobre essa vulnerabilidade:

  • A exploração é feita através de links maliciosos, portanto se você utiliza um serviço de AntiSpam/Mail Gateway bem configurado e atualizado, esses e-mails de phishing já deveriam estar sendo bloqueados.
  • O usuário deve clicar no link para que a exploração possa ocorrer, portanto mecanismos dos próprios navegadores (se atualizados) e software antivírus/antimalware já deveriam bloquear esses links.
  • Caso todas essas proteções estivessem falhado, o usuário deveria deixar a janela aberta pelo phishing aberta por muitos minutos para que a mesma pudesse ser executada.
  • De qualquer maneira, a melhor solução é atualizar o seu Zimbra, seja com o patch 30 ou o hotfix deste artigo.

Para quem utiliza o Zimbra em cenários Multi-Server, esse procedimento deve ser executado nos servidores Mailbox. Não é necessário reiniciar os serviços.

su - zimbra
cd /tmp
mkdir /tmp/backup_patch
mv /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/{monthView.tag,multiDay.tag} /tmp/backup_patch
wget https://github.com/BktechBrazil/zimbra-util/raw/master/8.8.15_Fix.tgz
tar xvf 8.8.15_Fix.tgz
cp /tmp/8815/{monthView.tag,multiDay.tag} /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/
chmod 644 /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/{monthView.tag,multiDay.tag}
chown zimbra:zimbra /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/{monthView.tag,multiDay.tag}
zmprov fc -a all

3 comentários sobre “Zimbra: Corrigindo a vulnerabilidade CVE-2022-24682 (Zero-day XSS Vulnerability)

      1. Olá Amanda,

        Como o centos 6 está fora de suporte, os novos patches também não serão publicados para esse SO. É necessário instalar o zimbra em um SO mais recente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s