近日,国家信息安全漏洞共享平台(CNVD)发布Coremail邮件系统存在配置信息泄露漏洞。攻击者利用该漏洞,可在未授权的情况下获取敏感配置文件信息。该漏洞安全级别为“高危”,现将漏洞详情通报如下:
一、漏洞情况
Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统作为我国第一套中文邮件系统,客户范围涵盖党政机关、高校、知名企业、能源、电力、金融等重要行业单位,应用较为广泛。
由于Coremail邮件系统的mailsms模块参数大小写敏感存在缺陷,使得攻击者利用该漏洞,在未授权的情况下,通过远程访问URL地址获取Coremail服务器的系统配置文件,造成数据库连接参数等系统敏感配置信息泄露。
二、影响范围
Coremail XT 3.0.1至XT 5.0.9版本受此影响(XT 5.0.9a及以上版本已修复该漏洞)。目前,综合CNVD技术支撑单位报送、白帽子报送、CNVD秘书处主动探测的结果显示,我国境内共有1236台服务器受此漏洞影响,影响比例约为3.3%。按受影响行业进行统计,高校占比较高。目前我区部分单位邮件系统已受此影响。
三、处置建议
目前,论客公司已发布补丁进行修复,请广大用户发现存在漏洞后及时修复。临时修补方法如下:
(一)在不影响使用的情况下,仅允许VPN连接后才可访问;
(二)在Web服务器(nginx/apache)上限制外网对/mailsms 路径的访问
目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。