CCS Injection Vulnerability (CVE-2014-0224) in Zimbra 8 schließen

Wie auch schon bei der Heartbleed Sicherheitslücke , ist es notwendig durch den Austausch der von Zimbra mitgebrachten SSL-Libraries die Sicherheitslücken zu schließen.

Diese Sicherheitslücke betrifft nur Zimbra 8, die vorhergehenden Versionen sind nicht betroffen.

Als erstes wird Zimbra heruntergefahren:

~# su - zimbra
~$ zmcontrol stop

Nun wird das von Zimbra zur Verfügung gestellte Script heruntergeladen und als root User ausgeführt:

cd /tmp
wget http://files.zimbra.com/downloads/security/zmopenssl-updater.sh
chmod a+rx zmopenssl-updater.sh
./zmopenssl-updater.sh

Zimbra kann nun wieder gestartet werden:

~# su - zimbra
~$ zmcontrol start

Wenn man sich nun als Zimbra User die OpenSSL Version anzeigen lässt, sollte folgende Ausgabe erscheinen:

zimbra$ openssl version
OpenSSL 1.0.1h 5 Jun 2014

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.