Đây là bản vá được xem là cuối cùng cho các phiên bản miễn phí OSE trong năm 2023 này. Ngoài ra, Zimbra đánh giá đây là bản vá có độ quan trọng cao vì cập nhật các lỗi quan trọng và kèm các bản cập nhật bảo mật thiết yếu.

Bản vá này bao gồm:

– Nâng cấp phiên bản OpenJDK lên 17.0.8 để chặn nhiều lỗ hổng bảo mật.

– Là bản vá cuối cùng cho Zimbra chạy trên Ubuntu 18.04: Sau bản vá này sẽ không còn bản vá nào khác áp dụng cho Zimbra 10 Daffodil trên Ubuntu 18.04. Quý khách hàng được khuyến cáo nên cài đặt Zimbra 10 trên Ubuntu 20.04 để nhận các bản vá sau này.

– Hỗ trợ Migration cho Zimbra 10 Daffodil: đã có hướng dẫn nâng cấp dạng in-place upgrade lên Zimbra 10 từ Zimbra 8.8.15, Zimbra 9 trên môi trường 1 server duy nhất (single server).

Vấn đề email trắng (blank email) trên ZCO

Sau bản cập nhật (Version 2310, 2311) gần đây của Microsoft cho Outlook, một số khách hàng phản ánh vấn đề khi gửi email từ ZCO, người nhận sẽ nhận được email trắng. Vấn đề này xuất hiện ngẫu nhiên và chúng tôi chưa thể mô phỏng lại lỗi này. Zimbra không có thay đổi nào trong ZCO và chúng tôi nhận thấy vấn đề này không xuất hiện với các phiên bản Outlook cũ hơn. Đội ngũ kỹ sư Zimbra đã và đang làm việc với Microsoft để tìm hiểu nguyên nhân. Nếu bạn gặp phải vấn đề này, vui lòng downgrade phiên bản Outlook về bản đang sử dụng trước đây.

Trước khi tiến hành cài đặt bản vá, bạn cần tạo snapshot hệ thống. Bản vá này reset các cấu hình bạn đã thay đổi cho postconf. Bạn cần phải thực hiện lại các thay đổi nếu có. Luôn sử dụng screen trong quá trình thao tác.

Tiến hành sao lưu lại cấu hình postconf hiện tại với quyền Zimbra

su - zimbra 
cp -axv ~/conf/zmconfigd.cf /tmp/zmconfigd.cf-prepatch
cp -axv ~/conf/amavisd.conf.in /tmp/amavisd.conf.in-prepatch
cp -axv ~/common/conf/transport /tmp/transport-prepatch
cp -axv ~/common/conf/main.cf /tmp/main.cf-prepatch
postconf -n | sort >> /tmp/postconf-prepatch.txt

Cập nhật gói OpenJDK cacert trên mailstore node.

Cần cài đặt zimbra-core-components trên mailstore server trước khi tiến hành cập nhật mailstore node.

# Trên Redhat
yum install zimbra-core-components
# Trên Ubuntu
apt-get install zimbra-core-components

Trong khi cài đặt zimlet, nếu gặp phải lỗi sau:

Enabling Zimlet zimbra-zimlet-secure-mail
ERROR: zclient.IO_ERROR (invoke PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target, server:  localhost) (cause: javax.net.ssl.SSLHandshakeException PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to  requested target)
*** zimbra-zimlet-secure-mail Installation Completed. ***
*** Restart the mailbox service as zimbra user. Run ***

thì tiến hành cài đặt lại zimlet gây ra lỗi trong quá trình upgrade.

zmzimletctl -l deploy <zimlet.zip file name>

Trước khi tiến hành cập nhật bản vá, bạn cần thiết lập zimbraVirtualHostName cho các domain đang dùng login dựa trên SAML và SSO.

su - zimbra
zmprov md domain_name zimbraVirtualHostName virtual_hostname

Thực hiện Update.

Nếu bạn dùng single server, thực hiện theo quy trình sau.

Tiến hành xoá yum cache và kiểm tra các bản updates

# Trên Redhat
yum clean metadata
yum check-update
# Trên Ubuntu
apt-get update

Trên mailstore node, tiến hành cài đặt các gói cần thiết

# Trên Redhat
yum install zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs
# Trên Ubuntu
apt-get install zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs

Tiến hành update zimbra theo thứ tự trên LDAP, MTA/Proxy và Mailstore node.

# Trên Redhat
yum update
# Trên Ubuntu
apt-get upgrade

Tiến hành restart Zimbra

su - zimbra
zmcontrol restart

Trong trường hợp có nhiều server (Mulit server) và bạn muốn cập nhật từng gói Zimbra. Tiến hành như sau:

Cập nhật openLDAP trên LDAP node:

# Trên Redhat
yum install zimbra-ldap-patch
# Trên Ubuntu
apt-get install zimbra-ldap-patch

su - zimbra
zmcontrol restart

Cập nhật zimbra-proxy-patch trên Proxy node:

# Trên redhat
yum clean metadata
yum check-update
yum install zimbra-proxy-patch
# Trên Ubuntu
apt-get update
apt-get install zimbra-proxy-patch

su - zimbra
zmproxyctl restart
zmmemcachedctl restart

Cập nhật gói zimbra-mta-components trên MTA node:

# Trên Redhat
yum clean metadata
yum check-update
yum install zimbra-mta-components

# Trên Ubuntu
apt-get update
apt-get install zimbra-mta-components

su - zimbra
zmamavisdctl restart

Cập nhật gói zimbra-mta-patch trên MTA node:

# Trên Redhat
yum install zimbra-mta-patch
# Trên Ubuntu
apt-get install zimbra-mta-patch

su - zimbra
zmamavisdctl restart

Cài đặt gói zimbra-patch trên Mailstore node:

# Trên Redhat
yum clean metadata
yum check-update
yum install zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs
yum install zimbra-patch
yum install zimbra-apache-components
yum install zimbra-spell-components 
# Trên Ubuntu
apt-get update
apt-get install zimbra-common-core-jar zimbra-common-core-libs zimbra-mbox-store-libs
apt-get install zimbra-patch
apt-get install zimbra-apache-components
apt-get install zimbra-spell-components

su - zimbra
zmcontrol restart

Bạn cũng update các gói khác như network-ng, snmp, dnscache, rabbitmq nếu có cài đặt trên hệ thống.

Lưu ý: Bản vá này có các cập nhật quan trọng về bảo mật và đặc biệt là nâng cấp phiên bản OpenSSL 3.0.x hỗ trợ FIPS. Bạn sẽ không cần thao tác cấu hình gì liên quan đến OpenSSL. Tuy nhiên, một số client vẫn sử dụng các phiên bản ứng dụng (như Outlook) cũ có thể gặp vấn đề. Khi này bạn sẽ cần tắt OpenSSL FIPS đi (xem hướng dẫn phía dưới).

Để tắt FIPS provider

Với quyền root, thực hiện như sau.
Tạo bản backup cho file openssl.cnf
cd /opt/zimbra/common/etc/ssl
cp openssl.cnf /root/openssl.cnf

Copy openssl-source.cnf file
cd /opt/zimbra/common/etc/ssl
cp openssl-source.cnf openssl.cnf

Xác nhận FIPS provider đã được tắt
/opt/zimbra/common/bin/openssl list --providers

Chỉnh sửa file openssl.cnf
vi /opt/zimbra/common/etc/ssl/openssl.cnf
Thêm vào nội dung sau
[openssl_init]
ssl_conf = ssl_sect
[ssl_sect]
system_default = system_default_sect
[system_default_sect]
CipherString = DEFAULT:@SECLEVEL=0

Với quyền Zimbra, chạy lệnh sau
su - zimbra
zmcontrol restart

Để bật FIPS provider

Với quyền root thực hiện như sau.
Sao lưu file openssl.cnf
cd /opt/zimbra/common/etc/ssl
cp openssl.cnf /root/openssl.cnf

Copy openssl-fips.cnf file
cd /opt/zimbra/common/etc/ssl
cp openssl-fips.cnf openssl.cnf

Xác nhận FIPS provider đã được bật (liệt kê).
/opt/zimbra/common/bin/openssl list --providers

Với quyền Zimbra, chạy lệnh sau
su - zimbra
zmcontrol restart