Nesta dica, irei tratar de uma atualização de segurança para o Zimbra 8, especificamente para o bug na biblioteca do OpenSSL versão 1.0.1, conhecido como Heartbleed.

Muitos administradores atualizam somente a versão do OpenSSL no S.O., porém, o Zimbra possui a biblioteca instalada em seu diretório.

As seguintes versões, são afetadas:

• 8.0.3
• 8.0.4
• 8.0.5
• 8.0.6
• 8.0.7 (builds até 6020)

Se você instalou o Zimbra 8.0.7 build 6021, o patch já está aplicado. Para consultar se a sua versão está vulnerável, execute o comando abaixo como usuário zimbra:

strings /opt/zimbra/openssl/lib/libssl.so | grep dtls1_heartbeat

Se retornar a entrada: dtls1_heartbeat, então você deve aplicar o patch.

Passos

Para aplicar o patch, siga os passos abaixo, como usuário root:

1. Efetue o download do patch:

# wget http://files.zimbra.com/downloads/security/zmopenssl-updater.sh

2. Conceda permissão para execução:

# chmod a+rx zmopenssl-updater.sh

3. Execute o patch:

# ./zmopenssl-updater.sh

O resultado deve ser parecido com estas entradas:

_{[Generates the following output]
Downloading patched openssl
Validating patched openssl: success
Backing up old openssl: complete
Installing patched openssl: complete
OpenSSL patch process complete.
Please restart Zimbra Collaboration Suite as the Zimbra user via zmcontrol restart}

4. Agora, como usuário zimbra, reinicie o serviço:

zmcontrol restart

Seguindo esses passos, a biblioteca do OpenSSL estará atualizada com a correção para a falha de segurança Heartbleed, porém, não esqueça de atualizar a biblioteca do S.O. também.

Referências

• Critical Security Advisory and Patch for OpenSSL Heartbleed Vulnerability « zimbra.com
• ZCS 8.0.7 has been rebuilt to include fix for OpenSSL Heartbleed Vulnerability « zimbra.com

Obrigado,
Respirando Linux, por Fabio Soares Schmidt.