Heartbleed TLS-Bug in Zimbra 8 schließen

Auch der Zimbra Collaboration Server in Version 8 ist von der Heartbleed Sicherheitslücke in OpenSSL betroffen.
Anders als bei anderer Software verwendet Zimbra allerdings nicht die OpenSSL Installation der Distribution, sondern bringt eigene libssl und libcrypto mit.

Ab Zimbra 8.0.8 wird die Lücke über die normalen Installationsbundles geschlossen werden, für alle Nutzer einer Zimbra Version zwischen 8.0.3 bis 8.0.7 gibt es folgendes Script, welches die SSL Libraries gegen eine nicht verwundbare Version austauscht:

Zuerst wird das Script heruntergeladen und als User root ausgeführt:

wget http://files.zimbra.com/downloads/security/zmopenssl-updater.sh
chmod a+x zmopenssl-updater.sh
./zmopenssl-updater.sh

Wenn alles geklappt hat erscheint folgende Ausgabe:

---------------------
[Generates the following output]
Downloading patched openssl
Validating patched openssl: success
Backing up old openssl: complete
Installing patched openssl: complete
OpenSSL patch process complete.
Please restart Zimbra Collaboration Suite as the Zimbra user via zmcontrol
restart
---------------------

Damit die neuen SSL Libraries auch von allen Zimbra Services verwendet werden muss Zimbra neu gestartet werden:

su - zimbra
zmcontrol restart

Ob die Lücke dann auch wirklich geschlossen ist, lässt sich mit einem der zahlreichen Heartbleed Tests nachvollziehen:

http://filippo.io/Heartbleed/
http://possible.lv/tools/hb/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.