Hace ya una semana que se publicó un parche para todas las versiones de Zimbra como solución a un bug grave. Lo normal para arreglar bugs era esperar a una nueva versión. Desde la versión 3 solo recuerdo haber añadido un parche de urgencia.
Llevo varios días con el parche instalado y la verdad es que todo funciona igual (es decir, de puta madre). Por lo que he podido ver en el desempaquetado del Jar, el problema debe ir por algún tipo de injección XPath, que tal como dice el descubridor, permite el acceso no autorizado a los archivos situados en el store del Zimbra.
Esta es mi receta de pasos para un Zimbra 5.0.16 bajo CentOS 5. Notar que hay dos archivos Jar para cambiar:
(creamos una carpeta de backup y paramos Zimbra) # mkdir /backup # su - zimbra # zmcontrol stop # exit # cd /tmp (descargamos el patch) # wget http://files.zimbra.com/downloads/security/dom4j-1.5.jar (dentro de Zimbra hay dos archivos dom4j-1.5.jar y comprobamos que sean el mismo) # md5sum /opt/zimbra/lib/jars/dom4j-1.5.jar # md5sum /opt/zimbra/jetty-6.1.5/common/lib/dom4j-1.5.jar (hacemos un backup y los sustituimos) # cp /opt/zimbra/lib/jars/dom4j-1.5.jar /backup # cp /tmp/dom4j-1.5.jar /opt/zimbra/lib/jars/ # cp /tmp/dom4j-1.5.jar /opt/zimbra/jetty-6.1.5/common/lib/ (les ponemos permisos y arrancamos Zimbra) # chown zimbra:zimbra /opt/zimbra/lib/jars/dom4j-1.5.jar # chown zimbra:zimbra /opt/zimbra/jetty-6.1.5/common/lib/dom4j-1.5.jar # su - zimbra # zmcontrol start
Más información:
- Una nueva herramienta desde los mandriles
1 comentarios:
Mandriles?
hacer un comentario en esta entrada