您目前正在使用IE6或IE7浏览器,本网站不提供对IE6和IE7的完整支持,请升级至IE8及以上版本,点击此处下载

首页 > 政务公开 > 园区公告

园区公告

关于转发市委网信办《关于Coremail邮件系统存在配置信息泄露漏洞的预警通知》的通知

发表于:2019年06月26日

园区各企事业单位:

        现将市委网信办《关于Coremail邮件系统存在配置信息泄露漏洞的预警通知》转发给你们,请各单位高度重视,根据通知要求,做好漏洞排查和隐患整改,如发生重大网络安全事件及时上报园区管委会。

附件:关于Coremail邮件系统存在配置信息泄露漏洞的预警通知

天津子牙经济技术开发区管理委员会

                  2019年6月26日

 

关于Coremail邮件系统存在

配置信息泄露漏洞的预警通知

各相关单位:

        接中央网信办通报,近期国家信息安全漏洞共享平台(CNVD)官方发布安全公告,Coremail邮件系统存在配置信息泄露漏洞,攻击者利用该漏洞,可在未授权的情况下获取敏感配置文件信息。目前,漏洞相关细节和验证代码已公开,厂商已发布补丁进行修复。建议使用Coremail构建邮件服务器的信息系统运营者立即自查,发现存在漏洞后及时修复。

        一、漏洞情况分析

        Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,为客户提供电子邮件整体技术解决方案及企业邮局运营服务,在我国境内应用较为广泛。

        2019年5月22日,国家信息安全漏洞共享平台收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统信息泄露漏洞(CNVD-2019-16798)。由于Coremail邮件系统的mailsms模块的参数大小写敏感存在缺陷,使得攻击者利用该漏洞,在未授权的情况下,通过远程访问URL地址获知Coremail服务器的系统配置文件,造成数据库连接参数等系统敏感配置信息泄露。

        CNVD对该漏洞的综合评级为“高危”。

        二、漏洞影响范围

        该漏洞的影响版本如下:

        Coremail XT 3.0.1至XT 5.0.9版本,XT 5.0.9a及以上版本已修复该漏洞。

        CNVD秘书处对Coremail服务在我国境内的分布情况进行统计,结果显示我国境内的Coremail服务器数量约为3.7万(根据IP端口统计)。

        综合CNVD技术支撑单位报送、白帽子报送、CNVD秘书处主动探测的结果显示,我国境内共有1484台服务器受此漏洞影响,影响比例约为4.0%。按受影响行业进行统计,高校占比较高。

        三、漏洞处置建议

        目前,论客公司已发布补丁进行修复,针对Coremail XT5和Coremail XT3/CM5版本,补丁编号为CMXT5-2019-0002,程序版本号1.1.0-alpha build20190524(3813d273)。如已安装的程序包的版本号日期早于20190524,建议用户及时更新补丁:用户可以在Coremail云服务中心的补丁管理模块,根据补丁编号下载并按照操作指引进行手动更新。如有疑问,也可通过400-888-2488或support@coremail.cn联系厂商售后人员提供协助。

        临时修补方法如下:

        1.在不影响使用的情况下,仅允许VPN连接后才可访问;

        2.在Web服务器(nginx/apache)上限制外网对/mailsms路径的访问。

        请各单位高度重视,严格贯彻落实《党委(党组)网络安全工作责任制》要求,加强风险排查和安全防护工作,如发生重大网络安全事件及时上报市委网信办。