Làm thế nào để vá lỗ hổng CVE-2023-38750 trên Zimbra Collaboration Suite (ZCS) khi chưa thể cập nhật lên phiên bản mới nhất

Zimbra Collaboration Suite (ZCS) là gì?

Zimbra Collaboration Suite (ZCS) là một bộ phần mềm cộng tác bao gồm một máy chủ email và một ứng dụng khách web. Nó được phát triển bởi LiquidSys và được đổi tên thành Zimbra, Inc. vào năm 2005.

ZCS cung cấp một loạt các tính năng cộng tác, bao gồm:

• Email
• Lịch
• Danh bạ
• Tệp chia sẻ
• Wiki
• Phòng chat
• VoIP

ZCS có thể được triển khai trên-premises hoặc như một dịch vụ SaaS. Nó có sẵn trong một số phiên bản, bao gồm Community Edition, Open Source Edition và Enterprise Edition.

Zimbra là một giải pháp cộng tác linh hoạt và mạnh mẽ. Nó được sử dụng bởi các doanh nghiệp nhỏ, vừa và lớn trên toàn thế giới.

Dưới đây là một số lợi ích của việc sử dụng Zimbra Collaboration Suite:

• Năng suất cao: Zimbra cung cấp một loạt các tính năng cộng tác giúp tăng năng suất của người dùng.
• Bảo mật: Zimbra được thiết kế với tính bảo mật cao.
• Khả năng mở rộng: Zimbra có thể được mở rộng để đáp ứng nhu cầu của các doanh nghiệp có quy mô khác nhau.
• Chi phí thấp: Zimbra có chi phí thấp hơn so với các giải pháp cộng tác khác.

Lỗ hổng và bản vá

CVE-2023-38750: Zimbra Collaboration Suite (ZCS) chứa lỗ hổng cross-site scripting (XSS) ảnh hưởng đến tính bảo mật và tính toàn vẹn của dữ liệu. Vấn đề đã được khắc phục. Bản vá được cập nhật trong phiên bản ZCS 10.0.2

Khắc phục thủ công

Trong trường hợp bạn chưa thể cập nhật ZCS lên phiên bản mới nhất. Vui lòng làm theo hướng dẫn sau để khắc phục lỗ hổng trên:

1. Sao lưu file /opt/zimbra/jetty/webapps/zimbra/m/momoveto
2. Sau khi sao lưu chỉnh sửa tập tin trên và đi tới dòng 40
3. Thay đổi
   <input name="st" type="hidden" value="${param.st}"/>
   thành
   <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>

Lưu ý: Không cần khởi động lại dịch vụ Zimbra nên bạn có thể thực hiện mà không bị gián đoạn dịch vụ.