Vulnerabilidad de explotación de día cero de Log4j

Después de una revisión y pruebas intensivas, Zimbra Development determinó que la vulnerabilidad de explotación de día cero para Log4j (CVE-2021-44228) no afecta las versiones actuales de Zimbra compatibles (9.0.0 y 8.8.15). Zimbra Collaboration Server actualmente usa Log4j versión 1.2.16. La causa de la vulnerabilidad se encuentra en la función de expresión de búsqueda en las versiones 2.0 a 2.17 de Log4j.

Además, la vulnerabilidad Redhat (CVE-2021-4104) no afecta las versiones actuales de Zimbra Collaboration Server compatibles (8.8.15 y 9.0.0). Para que esta vulnerabilidad afecte al servidor, necesita JMSAppender y la capacidad de agregar archivos de configuración. Zimbra no utiliza JMSAppender.

Estamos en el proceso de actualización de Log4j y esperamos que se complete en el primer trimestre de 2022

Parche 22 de Zimbra 9.0.0 "Kepler"

El parche 22 está aquí para la versión de Zimbra 9.0.0 "Kepler" GA, e incluye Novedades, Problemas resueltos y Problemas conocidos como se enumeran en las notas de la versión . Consulte las notas de la versión para la instalación de Zimbra 9.0.0 Patch 22 en las plataformas Red Hat y Ubuntu.

Zimbra 8.8.15 "James Prescott Joule" Parche 29

El parche 29 está aquí para la versión GA de Zimbra 8.8.15 "James Prescott Joule", e incluye Novedades, Problemas resueltos y Problemas conocidos que se enumeran en las notas de la versión . Consulte las notas de la versión para la instalación de Zimbra 8.8.15 Patch 29 en las plataformas Red Hat y Ubuntu.

Nota:

• Para Zimbra 8.8.8 y superior, no es necesario descargar ninguna versión de parche. Los paquetes de parches se pueden instalar mediante los comandos de administración de paquetes de Linux.
• No puede volver a la versión anterior de ZCS después de actualizar al parche.