2019

06/17

05:32

來源:
CNNVD安全動態

微信

新浪

CNNVD關于Coremail郵件系統安全漏洞的預警通報

  近日,國家信息安全漏洞庫(CNNVD)收到關于Coremail郵件系統非信息泄露漏洞的報送。攻擊者利用該漏洞可以訪問部分非授權服務接口,對接口參數進行注入,獲取敏感配置文件信息等。目前,漏洞相關細節和利用代碼已經公開,廠商已發布補丁進行修復,建議用戶立即更新或采取臨時修補方案進行防護。

  一、漏洞介紹

  Coremail郵件系統是論客科技(廣州)有限公司(以下簡稱論客公司)自主研發的大型企業郵件系統,為客戶提供電子郵件整體技術解決方案及企業郵局運營服務,客戶范圍涵蓋黨政機關、高校、知名企業以及能源、電力、金融等重要行業單位,在我國境內應用較為廣泛。

  Coremail郵件系統apiws模塊上的部分WebService服務存在訪問策略缺陷和某API服務參數存在注入缺陷,使得攻擊者綜合利用上述漏洞,在未授權的情況下遠程訪問Coremail部分服務接口,通過參數構造注入進行文件操作,并且在未授權的情況下,通過遠程訪問URL地址獲知Coremail服務器的系統配置文件,造成數據庫連接參數等系統敏感配置信息泄露。

  二、危害影響

  該漏洞涉及了多個版本,具體受影響版本如下:

  Coremail XT 3.0.1至XT 5.0.9版本

  三、修復建議

  目前,論客公司已發布補丁進行修復,針對Coremail XT5和Coremail XT3/CM5版本,補丁編號為CMXT5-2019-0002,程序版本號1.1.0-alpha build20190524(3813d273)。如已安裝的程序包的版本號日期早于20190524,建議用戶及時更新補丁:用戶可以在Coremail云服務中心的補丁管理模塊,根據補丁編號下載并按照操作指引進行手動更新。如有疑問,也可通過400-888-2488 或 [email protected] 聯系廠商售后人員提供協助。

  臨時修補方法如下:

  1、在不影響使用的情況下,僅允許VPN連接后才可訪問;

  2、在Web服務器(nginx/apache)上限制外網對 /mailsms 路徑的訪問。

  CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。

  聯系方式: [email protected]

CNNVD關于Coremail郵件系統安全漏洞的預警通報

2019 17:32來源:CNNVD安全動態

  近日,國家信息安全漏洞庫(CNNVD)收到關于Coremail郵件系統非信息泄露漏洞的報送。攻擊者利用該漏洞可以訪問部分非授權服務接口,對接口參數進行注入,獲取敏感配置文件信息等。目前,漏洞相關細節和利用代碼已經公開,廠商已發布補丁進行修復,建議用戶立即更新或采取臨時修補方案進行防護。

  一、漏洞介紹

  Coremail郵件系統是論客科技(廣州)有限公司(以下簡稱論客公司)自主研發的大型企業郵件系統,為客戶提供電子郵件整體技術解決方案及企業郵局運營服務,客戶范圍涵蓋黨政機關、高校、知名企業以及能源、電力、金融等重要行業單位,在我國境內應用較為廣泛。

  Coremail郵件系統apiws模塊上的部分WebService服務存在訪問策略缺陷和某API服務參數存在注入缺陷,使得攻擊者綜合利用上述漏洞,在未授權的情況下遠程訪問Coremail部分服務接口,通過參數構造注入進行文件操作,并且在未授權的情況下,通過遠程訪問URL地址獲知Coremail服務器的系統配置文件,造成數據庫連接參數等系統敏感配置信息泄露。

  二、危害影響

  該漏洞涉及了多個版本,具體受影響版本如下:

  Coremail XT 3.0.1至XT 5.0.9版本

  三、修復建議

  目前,論客公司已發布補丁進行修復,針對Coremail XT5和Coremail XT3/CM5版本,補丁編號為CMXT5-2019-0002,程序版本號1.1.0-alpha build20190524(3813d273)。如已安裝的程序包的版本號日期早于20190524,建議用戶及時更新補丁:用戶可以在Coremail云服務中心的補丁管理模塊,根據補丁編號下載并按照操作指引進行手動更新。如有疑問,也可通過400-888-2488 或 [email protected] 聯系廠商售后人員提供協助。

  臨時修補方法如下:

  1、在不影響使用的情況下,僅允許VPN連接后才可訪問;

  2、在Web服務器(nginx/apache)上限制外網對 /mailsms 路徑的訪問。

  CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。

  聯系方式: [email protected]

為你推薦

CNNVD 關于Oracle WebLogic Server遠

CNNVD 關于Oracle WebLogic Server遠程代碼執行漏洞的通報。

CNNVD關于Coremail郵件系統安全漏洞的預

CNNVD關于Coremail郵件系統安全漏洞的預警通報。

短視頻平臺為何頻頻成為行騙新工具?

隨著移動終端的普及和網絡的不斷提速,“短、平、快”的短視頻獲得了大眾的喜愛,茶余飯后刷刷“抖音”“快手”,成了人們娛樂減壓方式之一,網紅經濟隨之不斷崛起……

云南快乐十分如何玩