Ngay sau khi ra bản vá 30 cho Zimbra 9 và 37 cho Zimbra 8.8.15 thì Synacor đã phát hành tiếp theo bản vá 31/38 để cập nhật khắc phục lỗ hổng CVE-2023-20032CVE-2023-20052 được xếp hạng NGHIÊM TRỌNG (CRITICAL) trong ClamAV. 

Nếu bạn đang sử dụng giải pháp antivirus và antispam do đối tác thứ 3 cung cấp và đã disable tính năng antispam, antivirus trên zimbra, bạn sẽ không bị ảnh hưởng. Ví dụ:

su ‐ zimbra
zmprov ms `zmhostname` -zimbraServiceEnabled amavis -zimbraServiceEnabled antivirus -zimbraServiceEnabled antispam
zmcontrol restart

Nếu bạn đang dùng ClamAV trên Zimbra thì cần thực hiện update, ít nhất cho MTA server như sau, với quyền root:

Nếu dùng centos hoặc redhat, rocky linux,…

yum install zimbra-mta-patch

Nếu dùng Ubuntu

apt-get install zimbra-mta-patch

Tiến hành khởi động lại zimbra

su ‐ zimbra
zmcontrol restart

Trong trường hợp bạn muốn cập nhật toàn bộ hệ thống, bạn thực hiện như sau:

Nhắc lại một số cập nhật quan trọng gần đây mà bạn cần thực hiện. Nếu bạn đã thực hiện rồi, vui lòng bỏ qua và đi đến mục “Thực hiện quy trình cập nhật” phía dưới.

1. Đảm bảo cài đặt gói pax (centos, redhat) hoặc spax (ubuntu). Các bản vá gần nhất của Zimbra đã thêm yêu cầu cần có gói pax như là điều kiện bắt buộc. Pax được Zimbra sử dụng trong Amavis để giải nén các tập tin đính kèm. Nếu không có pax thì Zimbra sẽ dùng gói cpio hiện đang có lỗ hổng bảo mật cho phép hacker tải các file lên server mà không cần xác thực.

Ubuntu

apt install pax

CentOS 7

yum install pax

CentOS 8

dnf install spax

Khởi động lại Zimbra:

su ‐ zimbra
zmcontrol restart

2. Cài đặt gói pcre2. Gói này phục vụ cho phần mềm apache, spell và converted. Zimbra khuyên nên cài đặt gói này trước khi thực hiện cập nhật các bản vá mới.

Trên ubuntu:

apt-get install libpcre2-8-0

Trên Centos/Redhat.

yum install pcre2

3. Gỡ cài đặt unrar và thay bằng 7zip

Trên CentOS:

rm ‐Rf /usr/local/bin/rar,unrar
yum install p7zip ‐‐enablerepo=epel

Thực hiệ n quy trình cập nhật. Lưu ý một số bước thay đổi so với quy trình cũ trước đây.

Lưu ý rằng quy trình cài đặt bản vá lần này có thay đổi một chút so với trước đây. Zimbra đã thêm vào một số bước để cài đặt các gói zimbra-common-core-jar, zimbra-common-core-libs, zimbra-mbox-store-libs, cũng như phát hành gói cài đặt zimbra-ldap-patch dành riêng cho server chỉ cài đặt ldap.

Nếu bạn đang dùng SSO, bạn cần cập nhật zimbraVirtualHostName:

su ‐ zimbra
zmprov md domain_name zimbraVirtualHostName <virtual hostname>

Tắt server, hoặc tắt zimbra, Tiến hành tạo snapshot cho máy ảo. Khởi động lại server hoặc bật zimbra.

Trên tất cả server, với quyền root, xóa yum cache và kiểm tra xem có gói cập nhật nào mới không:

screen #luôn dùng screen khi chạy lệnh cập nhật hệ thống.
yum clean metadata
yum check-update

Nếu đang sử dụng multi server và dùng riêng ldap server thì trên ldap server này bạn cài đặt gói sau:

yum install zimbra-ldap-patch

Nếu đang sử dụng multi server và có proxy server thì trên server này bạn cài đặt gói sau:

yum install zimbra-proxy-patch

Nếu đang sử dụng multi server và có mta server thì trên server này bạn cài đặt gói sau:

yum install zimbra-mta-patch

Trên mailstore node (hoặc trên single server nếu bạn chỉ có 1 server), tiến hành cài đặt thêm các gói sau:

yum install zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs
yum install zimbra-patch
yum install zimbra-apache-components
yum install zimbra-spell-components

Cân nhắc update và cài đặt các Zimlet hữu ích trên mailstore server.

yum install zimbra-network-modules-ng
yum install zimbra-connect
yum install zimbra-zimlet-auth
yum install zimbra-docs
yum install zimbra-drive-ng

Trên tất cả các server, theo thứ tự ldap server, mta server, proxy server, mailbox server, tiến hành cập nhật các gói cài đặt còn lại:

yum update
su ‐ zimbra
zmcontrol restart.

Nếu bạn chỉ muốn update Zimbra và không update hệ điều hành, với quyền root:

yum clean all; yum repolist
yum check-update ‐‐disablerepo=* ‐‐enablerepo=zimbra*
yum update ‐‐disablerepo=* ‐‐enablerepo=zimbra*

Khởi động lại Zimbra với quyền zimbra:

su ‐ zimbra
zmcontrol restart.

Xác suất để hệ thống bị hư sau khi update zimbra là cực thấp. Tuy nhiên nếu muốn an toàn, bạn có thể sử dụng dịch vụ lưu trữ tạm email chiều đến (backup mx) trong trường hợp hệ thống bị sự cố, như vậy bạn sẽ không bị mất email. Hiện tại Zimico cung cấp dịch vụ chống spam chuyên nghiệp và có bao gồm tính năng lưu trữ tạm (lên đến 30 ngày) cho luồng email đến. Liên hệ Zimico để biết thêm về dịch vụ này tại đây.