Zimbra Memcached può subire un attacco ” memcrashd ” sulla porta 11211. Memcached di default controlla gli indirizzi IP dei server, nelle reti e in Internet, dove non è presente un firewall.
Se i tuoi server Zimbra Memcache sono protetti da firewall, ti consigliamo di bloccare l’accesso sulla porta 11211 da Internet verso i server zimbra memcache. Una volta fatto, non è necessario seguire ulteriori passaggi su questo wiki.
Se il tuo server Zimbra Memcache NON è protetto da un firewall e accessibile tramite Internet, procedi come sotto.
Per installazione Zimbra Single Server
Configura memcached per ascoltare l’indirizzo 127.0.0.1. Usa i comandi sottostanti.
su - zimbra / opt / zimbra / bin / zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1 / opt / zimbra / bin / zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1
Riavvia memcached:
zmmemcachedctl restart
Per installazione Zimbra Multi Server
Nella configurazione multi-server di Zimbra, la soluzione alternativa è bloccare l’accesso UDP sulla porta 11211. Innanzitutto è necessario abilitare/avviare iptables o ufw sul server. Assicurati che le altre porte di zimbra non siano bloccate nel firewall. Esegui i comandi sottostanti nella sequenza indicata su TUTTI i server memcache.
Regole di Iptables per i server basati su RedHat
iptables -I INPUT -p udp -s 127.0.0.1 --dport 11211 -j ACCEPT iptables -I INPUT -p udp --dport 11211 -j DROP
Regole UFW per server basati su Ubuntu
ufw consentire da 127.0.0.1 proto udp a qualsiasi porta 11211 ufw negare da qualsiasi proto udp a qualsiasi porta 11211
La comunicazione TCP sarà consentita tra i nodi zimbra memcache/proxy/mailbox.
Verifica
Sotto comando dovrebbe dare una risposta vuota quando viene eseguito da qualsiasi host tranne localhost.
echo -en "\ x00 \ x00 \ x00 \ x00 \ x00 \ x01 \ x00 \ x00stats \ r \ n" | nc -q1 -u <IP del server zimbra memcache> 11211
Se vedi una risposta non vuota che contiene dettagli PID, il tuo server è vulnerabile .
Il comando sopra può fallire sui server redhat perché nc non ha l’opzione “-q”. Puoi usare “-w 1”.