Coremail邮件系统存在配置信息泄露漏洞(CNVD-2019-16798)
安全公告編號(hào): CNTA-2019-0020
2019年5月22日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了由北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司報(bào)送的Coremail郵件系統(tǒng)配置信息泄露漏洞(CNVD-2019-16798)。攻擊者利用該漏洞,可在未授權(quán)的情況下獲取敏感配置文件信息。目前,漏洞相關(guān)細(xì)節(jié)和驗(yàn)證代碼已公開(kāi),廠商已發(fā)布補(bǔ)丁進(jìn)行修復(fù)。
一漏洞情況分析
Coremail郵件系統(tǒng)是論客科技(廣州)有限公司(以下簡(jiǎn)稱論客公司)自主研發(fā)的大型企業(yè)郵件系統(tǒng),為客戶提供電子郵件整體技術(shù)解決方案及企業(yè)郵局運(yùn)營(yíng)服務(wù)。Coremail郵件系統(tǒng)作為我國(guó)第一套中文郵件系統(tǒng),客戶范圍涵蓋黨政機(jī)關(guān)、高校、知名企業(yè)以及能源、電力、金融等重要行業(yè)單位,在我國(guó)境內(nèi)應(yīng)用較為廣泛。
2019年5月22日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了由北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司報(bào)送的Coremail郵件系統(tǒng)信息泄露漏洞(CNVD-2019-16798)。由于Coremail郵件系統(tǒng)的mailsms模塊的參數(shù)大小寫(xiě)敏感存在缺陷,使得攻擊者利用該漏洞,在未授權(quán)的情況下,通過(guò)遠(yuǎn)程訪問(wèn)URL地址獲知Coremail服務(wù)器的系統(tǒng)配置文件,造成數(shù)據(jù)庫(kù)連接參數(shù)等系統(tǒng)敏感配置信息泄露。
CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。
二漏洞影響范圍
該漏洞的影響版本如下:
Coremail XT 3.0.1至XT 5.0.9版本,XT 5.0.9a及以上版本已修復(fù)該漏洞。
CNVD秘書(shū)處對(duì)Coremail服務(wù)在我國(guó)境內(nèi)的分布情況進(jìn)行統(tǒng)計(jì),結(jié)果顯示我國(guó)境內(nèi)的Coremail服務(wù)器數(shù)量約為3.7萬(wàn)(根據(jù)IP端口統(tǒng)計(jì))。
綜合CNVD技術(shù)支撐單位報(bào)送、白帽子報(bào)送、CNVD秘書(shū)處主動(dòng)探測(cè)的結(jié)果顯示,我國(guó)境內(nèi)共有1484臺(tái)服務(wù)器受此漏洞影響,影響比例約為4.0%。按受影響行業(yè)進(jìn)行統(tǒng)計(jì),高校占比較高。我平臺(tái)已將探測(cè)結(jié)果與論客公司共享,協(xié)助其開(kāi)展用戶側(cè)修復(fù)相關(guān)工作。
三漏洞處置建議
目前,論客公司已發(fā)布補(bǔ)丁進(jìn)行修復(fù),針對(duì)Coremail XT5和Coremail XT3/CM5版本,補(bǔ)丁編號(hào)為CMXT5-2019-0002,程序版本1.1.0-alphabuild20190524(3813d273)。如已安裝的程序包的版本號(hào)日期早于20190524,建議用戶及時(shí)更新補(bǔ)丁:用戶可以在Coremail云服務(wù)中心的補(bǔ)丁管理模塊,根據(jù)補(bǔ)丁編號(hào)下載并按照操作指引進(jìn)行手動(dòng)更新。如有疑問(wèn),也可通過(guò)400-888-2488 或 support@coremail.cn 聯(lián)系廠商售后人員提供協(xié)助。
臨時(shí)修補(bǔ)方法如下:
1、在不影響使用的情況下,僅允許VPN連接后才可訪問(wèn);
2、在Web服務(wù)器(nginx/apache)上限制外網(wǎng)對(duì) /mailsms 路徑的訪問(wèn)。
建議使用Coremail構(gòu)建郵件服務(wù)器的信息系統(tǒng)運(yùn)營(yíng)者立即自查,發(fā)現(xiàn)存在漏洞后及時(shí)修復(fù)。
總結(jié)
以上是生活随笔為你收集整理的Coremail邮件系统存在配置信息泄露漏洞(CNVD-2019-16798)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 九章算法 | Facebook 面试题
- 下一篇: BZOJ1720: [Usaco2006