Zimbra 8.8.15 Patch 34 Yayınlandı
Zimbra Collaboration'ın Patch 34 güncellenmesi yayınlandı.
Patch 34 genel olarak güvenlik güncellemeleriyle ve hata gidermeleriyle gelmektedir. Bunun yanında 1-2 ufak güzel yenilikleri kullanıcılarına sunmaktadır. Zimbra Patch 34 ile ciddi güvenlik açıklarının önüne geçmiştir. Yeni güncelleme ile birlikte XSS zafiyetlerinin önüne geçilmiştir. Güncelleme ile birlikte Zimbra, kullanıcılarına güvenli bir kullanım sağlamaktadır.
Zimbra Versiyonumuzu Neden Güncellemeliyiz?
Güncellemelerin yapılması ile birlikte;
Mevcut sorunların ortaya çıkmaması sağlanır ve sorunsuz şekilde sistemin devamlılığı sağlanmış olur. Güncelleme ile birlikte mevcut güvenlik açıkları giderilmiş olacaktır. Böylelikle oluşabilecek bir saldırının önüne geçilebilir. Güvenlik açıklarının giderilmesi ile birlikte firmanızın ve kullanıcılarınızın maddi ve manevi zarar görmesini engelleyebilirsiniz. Güvenlik güncellemelerinin yanı sıra yenilikler ile kullanıcılara, profesyonel bir kullanım sağlayabilirsiniz.
Güvenlik Düzeltmeleri
1.CVE-2022-41352 - Zimbra kullanıcıların hesaplarına cpio paketi aracılığla erişebiliniyordu. Bunun yerine zimbra pax paketini yürürlüğe koydu.
Zimbra 8.8.15 keşfedilen sorun ile, diğer kullanıcı hesaplarına hatalı erişime yol açabilecek bir cpio boşluk (/opt/zimbra/jetty/webapps/zimbra/public) yoluyla amavisd aracılığıyla rastgele dosyalar yüklenebiliyordu. Cpio paketi yerine pax baketini devreye sokuldu. Pax, Ubuntu'da Zimbra'nın ön koşullarından biridir; ancak pax, RHEL 6'dan (veya CentOS 6) sonra artık varsayılan bir RedHat kurulumunun parçası değildir. Pax kurulduktan sonra, amavisd otomatik olarak cpio yerine pax paketlerini kullanmaktadır.
2.CVE-2022-37393 - Zimbra'nın sudo yapılandırması, zimbra kullanıcılarının zmslapd ikili dosyasını keyfi parametrelerle kök olarak yürütülmesine izin vermekteydi. Amaçlanan işlevselliğinin bir parçası olarak zmslapd, .so dosyaları biçiminde eklentiler içeren ve aynı zamanda kök olarak da çalışan kullanıcı tanımlı bir yapılandırma dosyası yükleyebilir.
3. CVE-2022-41350 - Zimbra 8.8.15'te "/h/search?action=voicemail&action=listen" savunmasız bir telefon numarası parametresine karşın XSS zafiyeti bulunmaktaydı. Bu sebepten dolayı kullanıcının hesabında zararlı javaScript çalıştırılabilmekteydi.
4. CVE-2022-41349 - Zimbra 8.8.15'te "/h/compose" adresindeki URL'de XSS karşı savunmasız olan bir AttachURL parametresi çalıştırılabilmekteydi. Bundan dolayı kullanıcının hesabında zararlı javaScript'ler çalıştırmaya olanak sağlamaktaydı.
5. CVE-2022-41351 - Zimbra 8.8.15'te "/h/calendar" URL'den javaScript parametresi eklenip, uncheck parametresinin değeri bir dizi olarak döndürüldüğünde XSS zafiyetini tetiklenmekteydi..
Sabit Sorunlar
1.log4j paketi yükseltildikten sonra, zmrestoreoffline yardımcı programında yürütmenin tamamlanmadığı bir soruna neden oldu. Sorun düzeltildi.
2.MTA, LDAP ve Proxy düğümlerindeki yama sürümü güncellenmiyordu. Sorun düzeltildi.
3.OWASP temizleme etkinleştirildiğinde kapatılmamış yorum etiketlerine sahip postalar görüntülenmiyordu. "zimbra_strict_unclosed_comment_tag" Bu tür e-postaları işlemek için bu yamadan itibaren yeni bir LC yapılandırması tanıtıldı. Varsayılan değer, kapatılmamış bir yorum etiketine sahip postaları göstermeyecek olan doğrudur. Yanlış olarak ayarlanırsa, kapatılmamış yorum etiketlerine sahip e-postalar görüntülenecektir.
4.JDK yükseltildikten sonra kullanıcılar SAML üzerinden giriş yapamıyorlardı. Sorun düzeltildi.
Yenilikler ve Düzeltmeler
1.CustomS3 paketleri ile imza V4'ü kullanmak için yeni bir imza_sürüm V4 parametresi eklendi.
2.Outlook uygulamasının bir randevu istisnasının başlangıç saatini düzgün bir şekilde senkronize etmesini engelleyen bir hata düzeltildi.
3.EAS cihazlarından davet kabul edildiğinde tüm gün randevularının 1 gün kaymasına neden olan bir hata düzeltildi.
4.Klasik Web Uygulaması için Dokümanlar belgelerinin önizlemesini engelleyen bir hata düzeltildi. Modern WebApp için düzeltme, bir sonraki yama sürümünde sunulacaktır.
Bilinen Sorunlar
1.Zimletleri kurarken aşağıdaki hatayı vermekteydi;
/opt/zimbra/bin/zmjava: line 59: /bin/java: No such file or directory Exception in thread "main" java.lang.NoClassDefFoundError: org/apache/logging/log4j/core/appender/ConsoleAppender$Target at com.zimbra.cs.localconfig.LocalConfigCLI.main(LocalConfigCLI.java:353) Caused by: java.lang.ClassNotFoundException: org.apache.logging.log4j.core.appender.ConsoleAppender$Target at java.base/jdk.internal.loader.BuiltinClassLoader.loadClass(BuiltinClassLoader.java:602) at java.base/jdk.internal.loader.ClassLoaders$AppClassLoader.loadClass(ClassLoaders.java:178) at java.base/java.lang.ClassLoader.loadClass(ClassLoader.java:521) ... 1 more
Hatanın giderilmesi için destek ekibimiz ile iletişime geçebilirsiniz.
2.zimbraVirtualHostName Joule-Patch-32'den itibaren, SSO kullanan müşterilerin alanlar için özniteliği güncellemesi gerekecektir. Özelliğin güncellenmesi için destek ekibimiz ile iletişime geçebilirsiniz.
3.DK 17 ile 3DES ve RC4 gibi daha zayıf Kerberos şifreleme türleri artık varsayılan olarak devre dışı bırakılmıştır. Bu, açıklanan şifreleme türleri kullanılıyorsa SPNEGO auth'nin başarısız olmasına neden olabilir. AES256 gibi daha güçlü şifreleme türleri kullanmanızı öneririz.SPNEGO auth'nin zayıf şifreleme türleriyle çalışmasını sağlamak için, krb5.conf yapılandırma dosyasında allow_weak_crypto özelliği true olarak ayarlanarak zayıf şifreleme etkinleştirilebilir.
Zimbra Patch güncellemesi ile ilgili sorun veya sorunuzda, güncelleme işlemleri konusunda, destek taleplerinizde zimbra ekibimiz ile iletişime geçebilirsiniz.