Recientemente, varios socios preguntaron si Zimbra se ve afectado por NGINX CVE-2023-44487.

Cuando echamos un vistazo a la publicación del blog de NGINX sobre CVE-2023-44487, menciona lo siguiente:

…es esencial que se realicen las siguientes actualizaciones en los archivos de configuración de NGINX, minimizando la superficie de ataque del servidor:

• keepalive_requests debe mantenerse en la configuración predeterminada de 1000 solicitudes

• http2_max_concurrent_streams debe mantenerse en la configuración predeterminada de 128 transmisiones

De forma predeterminada, Zimbra no establece las propiedades keepalive_requests y/o http2_max_concurrent_streams. En cuyo caso se utilizará NGinx por defecto y la vulnerabilidad no afectará a Zimbra Proxy. Sin embargo, en caso de que haya realizado personalizaciones en las plantillas de Zimbra NGINX, es posible que haya cambiado estas propiedades.

Para averiguarlo, puede ejecutar los siguientes comandos en su servidor Zimbra Proxy, ninguno de estos debería devolver las propiedades keepalive_requests y/o http2_max_concurrent_streams.

Para su información, pronto llegará una actualización de Zimbra Proxy que actualizará Zimbra Proxy a la versión 1.24 de NGINX.