近日����,國(guó)家信息安全漏洞庫(CNNVD)收到關(guān)于Coremail郵件系統(tǒng)非信息泄露漏洞的報(bào)送���。攻擊者利用該漏洞可以訪問部分非授權(quán)服務(wù)接口�����,對(duì)接口參數(shù)進(jìn)行注入�����,獲取敏感配置文件信息等����。目前,漏洞相關(guān)細(xì)節(jié)和利用代碼已經(jīng)公開�,廠商已發(fā)布補(bǔ)丁進(jìn)行修復(fù),建議用戶立即更新或采取臨時(shí)修補(bǔ)方案進(jìn)行防護(hù)���。
一���、漏洞介紹
Coremail郵件系統(tǒng)是論客科技(廣州)有限公司(以下簡(jiǎn)稱論客公司)自主研發(fā)的大型企業(yè)郵件系統(tǒng),為客戶提供電子郵件整體技術(shù)解決方案及企業(yè)郵局運(yùn)營(yíng)服務(wù)����,客戶范圍涵蓋黨政機(jī)關(guān)、高校��、知名企業(yè)以及能源���、電力�、金融等重要行業(yè)單位�,在我國(guó)境內(nèi)應(yīng)用較為廣泛。
Coremail郵件系統(tǒng)apiws模塊上的部分WebService服務(wù)存在訪問策略缺陷和某API服務(wù)參數(shù)存在注入缺陷���,使得攻擊者綜合利用上述漏洞�,在未授權(quán)的情況下遠(yuǎn)程訪問Coremail部分服務(wù)接口,通過參數(shù)構(gòu)造注入進(jìn)行文件操作���,并且在未授權(quán)的情況下����,通過遠(yuǎn)程訪問URL地址獲知Coremail服務(wù)器的系統(tǒng)配置文件�����,造成數(shù)據(jù)庫連接參數(shù)等系統(tǒng)敏感配置信息泄露�����。
二����、危害影響
該漏洞涉及了多個(gè)版本�,具體受影響版本如下:
Coremail XT 3.0.1至XT 5.0.9版本
三、修復(fù)建議
目前����,論客公司已發(fā)布補(bǔ)丁進(jìn)行修復(fù)�����,針對(duì)Coremail XT5和Coremail XT3/CM5版本�����,補(bǔ)丁編號(hào)為CMXT5-2019-0002���,程序版本號(hào)1.1.0-alpha build20190524(3813d273)。如已安裝的程序包的版本號(hào)日期早于20190524��,建議用戶及時(shí)更新補(bǔ)�����。河脩艨梢栽贑oremail云服務(wù)中心的補(bǔ)丁管理模塊�,根據(jù)補(bǔ)丁編號(hào)下載并按照操作指引進(jìn)行手動(dòng)更新。如有疑問�,也可通過400-888-2488 或 support@coremail.cn 聯(lián)系廠商售后人員提供協(xié)助。
臨時(shí)修補(bǔ)方法如下:
1���、在不影響使用的情況下����,僅允許VPN連接后才可訪問;
2��、在Web服務(wù)器(nginx/apache)上限制外網(wǎng)對(duì) /mailsms 路徑的訪問�。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,及時(shí)發(fā)布相關(guān)信息�����。如有需要�,可與CNNVD聯(lián)系。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
