Olá! Recentemente foi divulgada uma vulnerabilidade XSS que afeta todas as versões do Zimbra, exceto a última versão da edição NETWORK, que é a 9.0.

Para quem está utilizando a versão 8.8.15, seja Open Source ou Network Edition, a Zimbra publicou o patch 30 com a correção. Porém, se você está utilizando um sistema operacional fora de suporte (RHEL/CentOS 6 por exemplo), para aplicar a correção é necessário aplicar um hotfix, conforme os passos abaixo.

Apenas algumas informações importações sobre essa vulnerabilidade:

• A exploração é feita através de links maliciosos, portanto se você utiliza um serviço de AntiSpam/Mail Gateway bem configurado e atualizado, esses e-mails de phishing já deveriam estar sendo bloqueados.
• O usuário deve clicar no link para que a exploração possa ocorrer, portanto mecanismos dos próprios navegadores (se atualizados) e software antivírus/antimalware já deveriam bloquear esses links.
• Caso todas essas proteções estivessem falhado, o usuário deveria deixar a janela aberta pelo phishing aberta por muitos minutos para que a mesma pudesse ser executada.
• De qualquer maneira, a melhor solução é atualizar o seu Zimbra, seja com o patch 30 ou o hotfix deste artigo.

Para quem utiliza o Zimbra em cenários Multi-Server, esse procedimento deve ser executado nos servidores Mailbox. Não é necessário reiniciar os serviços.

su - zimbra
cd /tmp
mkdir /tmp/backup_patch
mv /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/{monthView.tag,multiDay.tag} /tmp/backup_patch
wget https://github.com/BktechBrazil/zimbra-util/raw/master/8.8.15_Fix.tgz
tar xvf 8.8.15_Fix.tgz
cp /tmp/8815/{monthView.tag,multiDay.tag} /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/
chmod 644 /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/{monthView.tag,multiDay.tag}
chown zimbra:zimbra /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/{monthView.tag,multiDay.tag}
zmprov fc -a all