Kemarin malam, saya menerima email dari Zimbra terkait adanya security update untuk zimbra versi 8.8.15. Dari informasi yang disampaikan, issue ini cukup serius dan harus segera dilakukan tindakan. Informasi resminya dapat dibaca pada link berikut: https://info.zimbra.com/security-update-zimbra-collaboration-suite-version-8.8.15-important.
Fixing ini cukup dilakukan pada mailbox server saja (jika multi server). Untuk melakukan fixing terhadap issue tersebut, dapat dilakukan beberapa cara
# Cara manual
– Backup file /opt/zimbra/jetty/webapps/zimbra/m/momoveto
– Edit file /opt/zimbra/jetty/webapps/zimbra/m/momoveto dan update parameter berikut
<input name="st" type="hidden" value="${param.st}"/>
menjadi seperti berikut
<input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
# Menggunakan Script
Bash script ini dibuat oleh JDunphy pada Zimbra Forum. Download script tersebut, berikan hak akses dan jalankan
curl -k https://raw.githubusercontent.com/imanudin11/script/master/patch-momoveto.sh > /tmp/patch-momoveto.sh chmod +x /tmp/patch-momoveto.sh /tmp/patch-momoveto.sh
# Menggunakan Ansible
Jika menggunakan Ansible, bisa menggunakan panduan yang dibuat oleh Ghen pada Zimbra forum seperti berikut
- name: fix XSS in /m/momoveto (ZBUG-3490) replace: path: /opt/zimbra/jetty/webapps/zimbra/m/momoveto regexp: '\${param.st}' replace: '${fn:escapeXml(param.st)}'
Fixing di atas tidak membutuhkan restart services. Sebagai informasi tambahan, Zimbra 8.8.15 akan end of life & end of support pada akhir tahun ini. Jika saat ini masih menggunakan Zimbra 8.8.15, segera lakukan upgrade
Silakan dicoba 🙂