【漏洞預警】CNNVD關于Coremail郵件系統安全漏洞的預警通報
近日,國家信息安全漏洞庫(CNNVD)收到關于Coremail郵件系統非信息泄露漏洞的報送。攻擊者利用該漏洞可以訪問部分非授權服務接口,對接口參數進行注入,獲取敏感配置文件信息等。目前,漏洞相關細節和利用代碼已經公開,廠商已發布補丁進行修復,建議用戶立即更新或采取臨時修補方案進行防護。
一、漏洞介紹
Coremail郵件系統是論客科技(廣州)有限公司(以下簡稱論客公司)自主研發的大型企業郵件系統,為客戶提供電子郵件整體技術解決方案及企業郵局運營服務,客戶范圍涵蓋黨政機關、高校、知名企業以及能源、電力、金融等重要行業單位,在我國境內應用較為廣泛。
Coremail郵件系統apiws模塊上的部分WebService服務存在訪問策略缺陷和某API服務參數存在注入缺陷,使得攻擊者綜合利用上述漏洞,在未授權的情況下遠程訪問Coremail部分服務接口,通過參數構造注入進行文件操作,并且在未授權的情況下,通過遠程訪問URL地址獲知Coremail服務器的系統配置文件,造成數據庫連接參數等系統敏感配置信息泄露。
二、危害影響
該漏洞涉及了多個版本,具體受影響版本如下:
Coremail XT 3.0.1至XT 5.0.9版本
三、修復建議
目前,論客公司已發布補丁進行修復,針對Coremail XT5和Coremail XT3/CM5版本,補丁編號為CMXT5-2019-0002,程序版本號1.1.0-alpha build20190524(3813d273)。如已安裝的程序包的版本號日期早于20190524,建議用戶及時更新補丁:用戶可以在Coremail云服務中心的補丁管理模塊,根據補丁編號下載并按照操作指引進行手動更新。如有疑問,也可通過400-888-2488 或 support@coremail.cn 聯系廠商售后人員提供協助。
臨時修補方法如下:
1、在不影響使用的情況下,僅允許VPN連接后才可訪問;
2、在Web服務器(nginx/apache)上限制外網對 /mailsms 路徑的訪問。
