Esta es una actualización de la nota publicada en el día de ayer ...

Después de una revisión y pruebas intensivas, Zimbra Development determinó que la vulnerabilidad de explotación de día cero para Log4j (CVE-2021-44228) no afecta las versiones actuales de Zimbra compatibles (9.0.0 y 8.8.15). Zimbra Collaboration Server actualmente usa Log4j versión 1.2.16. La causa de la vulnerabilidad se encuentra en la función de expresión de búsqueda en las versiones 2.0 a 2.17 de Log4j.

Además, la vulnerabilidad Redhat (CVE-2021-4104) no afecta las versiones actuales de Zimbra Collaboration Server compatibles (8.8.15 y 9.0.0). Para que esta vulnerabilidad afecte al servidor, necesita JMSAppender y la capacidad de agregar archivos de configuración. Zimbra no utiliza JMSAppender.

Zimbra esta en proceso de actualizar Log4j y espera que se complete en el primer trimestre de 2022.