Baru-baru ini sejumlah partner menanyakan apakah Zimbra terpengaruh oleh NGINX CVE-2023-44487.

Saat kita melihat postingan blog NGINX di CVE-2023-44487 disebutkan sebagai berikut:

Penting untuk melakukan pembaruan berikut pada file konfigurasi NGINX, untuk meminimalkan permukaan serangan server:

  • keepalive_requests harus dijaga pada pengaturan default 1000 permintaan
  • http2_max_concurrent_streams harus dijaga pada pengaturan default 128 stream

Secara default Zimbra tidak mengatur properti keepalive_requests dan/atau http2_max_concurrent_streams. Dalam hal ini NGINX default akan digunakan dan kerentanannya tidak akan mempengaruhi Proxy Zimbra. Namun jika Anda melakukan penyesuaian pada template Zimbra NGINX, mungkin Anda telah mengubah properti ini.

Untuk mengetahuinya, Anda dapat menjalankan perintah di bawah ini pada server Proxy Zimbra Anda, tidak ada perintah yang mengembalikan properti keepalive_requests dan/atau http2_max_concurrent_streams.

/opt/zimbra/common/sbin/nginx -c /opt/zimbra/conf/nginx.conf -T | grep http2_max_concurrent_streams
/opt/zimbra/common/sbin/nginx -c /opt/zimbra/conf/nginx.conf -T | grep keepalive_requests

cd /opt/zimbra/conf/nginx/
grep -F -l -i keepalive_requests * -R
grep -F -l -i http2_max_concurrent_streams * -R

FYI, akan segera hadir update Zimbra Proxy yang akan mengupdate Zimbra Proxy ke NGINX versi 1.24.

End of General Support 

Zimbra 9.0.0 dan 8.8.15 akan mencapai akhir masa pakainya (EOL). Dukungan, patch keamanan, atau pembaruan untuk versi perangkat lunak kolaborasi kami ini akan berlangsung hingga tanggal di bawah ini

Zimbra 9.0.0 End of General Support: 12/31/2024

Zimbra 8.8.15 End of General Support: 12/31/2023

Jika para pembaca yang ingin mengetahui ataupun bertanya tentang informasi seputar zimbra untuk kebutuhan server zimbra pembaca lebih lanjut. Silahkan hubungi kami di info@rekha.co.id atau WhatsApp kami ke 0851-5532-440015405f

Related Post

Leave a Comment

Open chat
Hubungi Kami
Hallo, ada yang bisa kami bantu?