<div dir="ltr"><div dir="ltr"><div>Hello,</div><div><br></div><div></div><div>One of the Zimbra security recommendations is to block incoming memcache connection from anywhere else than Zimbra servers.</div><div><br></div><div>
Is Zimbra vulnerable if memcache service is filtered by iptables ?

</div><div><br></div><div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Regards<br></div>Victor d'Agostino<br></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mar. 19 mars 2019 à 11:59, David Touitou <<a href="mailto:david@network-studio.com">david@network-studio.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi all.<br>
<br>
This was sent to me yesterday.<br>
<a href="https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html" rel="noreferrer" target="_blank">https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html</a><br>
<br>
It's the public explanation of the last XXE/memcached patches (not available for versions below 8.7.11).<br>
<br>
Someone just post a problem with memcached in 8.8.11P3 on the US forum.<br>
<a href="https://forums.zimbra.org/viewtopic.php?f=15&t=65833" rel="noreferrer" target="_blank">https://forums.zimbra.org/viewtopic.php?f=15&t=65833</a><br>
Anyone also seeying such issues with last patch?<br>
<br>
David<br>
<br>
</blockquote></div></div>