Wykryto podatność XSS w Zimbra 8.8.15!
Jest to niebezpieczna podatność, dlatego zalecamy podjęcie natychmiastowych działań.
Jeżeli jesteś klientem Intalio z aktywną umową wsparcia technicznego taką poprawkę już u Ciebie wgraliśmy.
W pozostałych przypadkach zalecamy, aby wprowadzić zmiany samodzielnie. Rozwiązanie w postaci patcha będzie dostępne w lipcu, jednak mając na uwadze bezpieczeństwo danych, radzimy nie zwlekać i zaktualizować system samodzielnie.
Jak to zrobić?
- Zrób kopię zapasową pliku /opt/zimbra/jetty/webapps/zimbra/m/momoveto
- Edytuj plik i przejdź do linii numer 40
- Wartość parametru zaktualizuj z:
< input name= "st" type= "hidden" value= "${param.st}" / >
na:
< input name= "st" type= "hidden" value= "${fn:escapeXml(param.st)}" / >
Co istotne, nie jest wymagane ponowne uruchomienie Zimbry. Możesz więc wprowadzić zmianę bez żadnych przestojów w działaniu systemu.
Jeśli potrzebujesz wsparcia przy aktualizacji Zimbry zgłoś się do nas.