Baru-baru ini sejumlah partner menanyakan apakah Zimbra terpengaruh oleh NGINX CVE-2023-44487.
Saat kita melihat postingan blog NGINX di CVE-2023-44487 disebutkan sebagai berikut:
Penting untuk melakukan pembaruan berikut pada file konfigurasi NGINX, untuk meminimalkan permukaan serangan server:
Secara default Zimbra tidak mengatur properti keepalive_requests dan/atau http2_max_concurrent_streams. Dalam hal ini NGINX default akan digunakan dan kerentanannya tidak akan mempengaruhi Proxy Zimbra. Namun jika Anda melakukan penyesuaian pada template Zimbra NGINX, mungkin Anda telah mengubah properti ini.
Untuk mengetahuinya, Anda dapat menjalankan perintah di bawah ini pada server Proxy Zimbra Anda, tidak ada perintah yang mengembalikan properti keepalive_requests dan/atau http2_max_concurrent_streams.
/opt/zimbra/common/sbin/nginx -c /opt/zimbra/conf/nginx.conf -T | grep http2_max_concurrent_streams
/opt/zimbra/common/sbin/nginx -c /opt/zimbra/conf/nginx.conf -T | grep keepalive_requests
cd /opt/zimbra/conf/nginx/
grep -F -l -i keepalive_requests * -R
grep -F -l -i http2_max_concurrent_streams * -R
FYI, akan segera hadir update Zimbra Proxy yang akan mengupdate Zimbra Proxy ke NGINX versi 1.24.
Zimbra 9.0.0 dan 8.8.15 akan mencapai akhir masa pakainya (EOL). Dukungan, patch keamanan, atau pembaruan untuk versi perangkat lunak kolaborasi kami ini akan berlangsung hingga tanggal di bawah ini
Zimbra 9.0.0 End of General Support: 12/31/2024
Zimbra 8.8.15 End of General Support: 12/31/2023
Jika para pembaca yang ingin mengetahui ataupun bertanya tentang informasi seputar zimbra untuk kebutuhan server zimbra pembaca lebih lanjut. Silahkan hubungi kami di info@rekha.co.id atau WhatsApp kami ke 0851-5532-440015405f