Zimbra công bố không bị ảnh hưởng trực tiếp bởi lỗi bảo mật Spring4Shell trong Spring Framework mới được công bố gần đây. Tuy nhiên, hãng cũng tiến hành cập nhật bản vá cho các thành phần Zimbra có liên quan.

Một tin mừng khác là Zimbra 8.8.15 và 9.0 không bị ảnh hưởng bởi nguy cơ bảo mật Zero-day trên Log4j (CVE-2021-44228). Lý do là Zimbra đang sử dụng phiên bản Log4j 1.2.16 và lỗi Zero-day được khai thác trên phiên bản Log4j 2.0 đến 2.17. Ngược lại, việc dùng các phiên bản như Log4j quá cũ cũng tiềm tàng nhiều lỗ hổng bảo mật khác nên Zimbra đang tích cực triển khai việc nâng cấp và cập nhật Log4j lên phiên bản ổn định mới nhất trong tương lai gần.

Với bản vá P31 cho Zimbra 8.8.15 và P24 cho Zimbra 9.0 lần này, một số nguy cơ bảo mật cao sẽ được khắc phục như:

- Cập nhật lên Apache 2.4.53 để khắc phục nhiều lỗ hổng bảo mật nguy cơ cao (CVE-2021-40438, CVE-2021-39275) với điểm đánh giá nguy cơ 9.

- Cập nhật PHP lên 7.4.27 để khắc phục nguy cơ bị tấn công DOS (CVE-2021-21702) với điểm đánh gia nguy cơ 7.5.

Với các bản vá mới này, một số lỗi trong Zimbra cũng được khắc phục như:

- Cho phép cấu hình SameSite cookie flag. 

- Cho phép thiết lập thông số allowplugins  khi cập nhật Spamassasin.

- Khắc phục vấn đề không tạo sub-folder, lịch, contact khi dùng EWS.

- Khắc phục vấn đề không hiện kết quả tìm kiếm trong file pdf, MS Word và Excel.

- Và một số vấn đề liên quan đến HSM, backup, admin plus module.

Để cập nhật hệ thống, bạn có thể thực hiện như sau (ví dụ cho CentOS/Redhat):

Nếu hệ thống có nhiều server (mô hình multi server), cần thực hiện lần lượt theo thứ tự trên ldap server, proxy/mta và cuối cùng là mailbox server.

Nếu bạn update cả hệ điều hành lẫn Zimbra, với quyền root:

screen #luôn nhớ sử dụng screen cho các tác vụ như update.

yum clean all; yum repolist

yum check-update

yum update

Nếu bạn chỉ muốn update Zimbra và không update hệ điều hành, với quyền root:

screen

yum clean all; yum repolist

yum check-update --disablerepo=* --enablerepo=zimbra*

yum update --disablerepo=* --enablerepo=zimbra*

Khởi động lại Zimbra với quyền zimbra:

su - zimbra

zmcontrol restart.

Xác suất để hệ thống bị hư sau khi update zimbra là cực thấp. Tuy nhiên nếu muốn an toàn, bạn có thể sử dụng dịch vụ lưu trữ tạm email chiều đến (backup mx) trong trường hợp hệ thống bị sự cố, như vậy bạn sẽ không bị mất email. Hiện tại Zimico cung cấp dịch vụ chống spam chuyên nghiệp và có bao gồm tính năng lưu trữ tạm (lên đến 30 ngày) cho luồng email đến. Liên hệ Zimico để biết thêm về dịch vụ này tại đây.

Tham khảo thêm tại:

- Zimbra Releases/8.8.15/P31 - Zimbra :: Tech Center

- Zimbra Releases/9.0.0/P24 - Zimbra :: Tech Center