CNCERT:关于Coremail邮件系统存在配置信息泄露漏洞的安全公告

栏目: 编程工具 · 发布时间: 5年前

内容简介:安全公告编号: CNTA-2019-00202019年5月22日,国家信息安全漏洞共享平台(CNVD)收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统配置信息泄露漏洞(CNVD-2019-16798)。攻击者利用该漏洞,可在未授权的情况下获取敏感配置文件信息。目前,漏洞相关细节和验证代码已公开,厂商已发布补丁进行修复。Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件

安全公告编号: CNTA-2019-0020

2019年5月22日,国家信息安全漏洞共享平台(CNVD)收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统配置信息泄露漏洞(CNVD-2019-16798)。攻击者利用该漏洞,可在未授权的情况下获取敏感配置文件信息。目前,漏洞相关细节和验证代码已公开,厂商已发布补丁进行修复。

一、漏洞情况分析

Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统作为我国第一套中文邮件系统,客户范围涵盖党政机关、高校、知名企业以及能源、电力、金融等重要行业单位,在我国境内应用较为广泛。

2019年5月22日,国家信息安全漏洞共享平台(CNVD)收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统信息泄露漏洞(CNVD-2019-16798)。由于Coremail邮件系统的mailsms模块的参数大小写敏感存在缺陷,使得攻击者利用该漏洞,在未授权的情况下,通过远程访问URL地址获知Coremail服务器的系统配置文件,造成数据库连接参数等系统敏感配置信息泄露。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

该漏洞的影响版本如下:

Coremail XT 3.0.1至XT 5.0.9版本,XT 5.0.9a及以上版本已修复该漏洞。

CNVD秘书处对Coremail服务在我国境内的分布情况进行统计,结果显示我国境内的Coremail服务器数量约为3.7万(根据IP端口统计)。

综合CNVD技术支撑单位报送、白帽子报送、CNVD秘书处主动探测的结果显示,我国境内共有1236台服务器受此漏洞影响,影响比例约为3.3%。按受影响行业进行统计,高校占比较高。我平台已将探测结果与论客公司共享,协助其开展用户侧修复相关工作。

三、漏洞处置建议

目前,论客公司已发布补丁进行修复,针对Coremail XT5和Coremail XT3/CM5版本,补丁编号为CMXT5-2019-0002,程序版本1.1.0-alphabuild20190524(3813d273)。如已安装的程序包的版本号日期早于20190524,建议用户及时更新补丁:用户可以在Coremail云服务中心的补丁管理模块,根据补丁编号下载并按照操作指引进行手动更新。如有疑问,也可通过400-888-2488 或 surport@coremail.cn 联系厂商售后人员提供协助。

临时修补方法如下:

1、在不影响使用的情况下,仅允许VPN连接后才可访问;

2、在Web服务器(nginx/apache)上限制外网对 /mailsms 路径的访问。

建议使用Coremail构建邮件服务器的信息系统运营者立即自查,发现存在漏洞后及时修复。

感谢CNVD技术(用户)组成员单位——北京天融信网络安全技术有限公司、论客科技(广州)有限公司为本报告提供的技术支持。

感谢北京知道创宇信息技术股份有限公司、天津市国瑞数码安全系统股份有限公司(零点实验室)为本报告提供的数据支持。

声明:本文来自CNVD漏洞平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Web表单设计

Web表单设计

[美] Luke Wroblewski / 卢颐、高韵蓓 / 清华大学出版社 / 2010-6 / 49.00元

精心设计的表单,能让用户感到心情舒畅,愉快地注册、付款和进行内容创建和管理,这是促成网上商业成功的秘密武器。本书通过独到、深邃的见解,丰富、真实的实例,道出了表单设计的真谛。新手设计师通过阅读本书,可广泛接触到优秀表单设计的所有构成要素。经验丰富的资深设计师,可深入地了解以前没有注意到的问题及解决方案。 本书专为表单设计或开发人员准备,但同时也适合可用性工程师、网站开发人员、产品经理、视觉设......一起来看看 《Web表单设计》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具