关于Coremail邮件系统漏洞报备与主动响应相关情况的公告

2016-11-03 21:29:07

安全公告编号:CNTA-2016-0054

近日,CNVD用户组单位——盈世信息科技(北京)有限公司(简称“盈世公司”)向CNVD秘书处报备了其近期获知的Coremail系统漏洞安全风险情况,主要涉及登陆信息未安全传输风险、邮件表单项XSS跨站脚本风险、cookies欺骗安全风险。根据CNVD评估认定,其中两个风险认定为软件漏洞,分别为:Coremail 表单项img标签跨站脚本漏洞(CNVD-2013-08027,评级:中危),Coremail邮件系统服务器端存在身份验证漏洞(CNVD-2016-10575,评级:中危)。综合利用两个中危漏洞,攻击者有可能获得其他同域邮件用户的登陆权限。

针对上述漏洞以及信息未加密传输风险,盈世公司发布了对应的解决方案。根据CNVD用户组单位“主动响应”原则,按照CNVD漏洞安全响应指导规范,盈世公司通过已有售后渠道主动向涉及党政机关和重要行业单位的相关用户通报漏洞风险并协助完成漏洞修复工作。另外,盈世公司建议旧版本用户可升级到Coremail XT5.0版本,Coremail新版本XT5.0已修复。相关问题,可联系盈世公司安全中心:http://www.coremail.cn/zxdt/info_66.aspx?itemid=1921

附:盈世公司发布的相关修复信息

序号 安全问题 严重等级 影响版本 Patch包 部署方法
1 邮件读信页面存在XSS跨站脚本漏洞:攻击者在邮件收件人字段中插入恶意代码,收件人在收信过程中触发漏洞脚本,导致用户cookie被盗窃,从而被攻击者对邮箱进行恶意操作。 盈世公司评级:高 XT系列:
XT2.1/XT3.0 早期版本

CM系列:
CM4.0/CM5.0早期版本
XT2.1/CM4.0:
Patch包1:
patch_cm22115.sh
Patch包2:patch_wmsvr_20160601_offline.sh

XT3.0/CM5.0 :
Patch包1:
patch_cm26179.sh
Patch包2:patch_wmsvr_20160601_offline.sh
见“安全漏洞patch部署说明.doc”
2 邮箱loginVC.jsp页面的method参数 存在跨站脚本漏洞:在邮箱登录处,对参数method没有进行充分过滤,攻击者通过构造特殊的XSS注入语句可反弹用户cookie等身份凭证。 盈世公司评级:高
3 以上patch修复包整合了以往的严重安全漏洞,重复安装patch包不受影响。
4 以于未加密安全风险 建议安装SSL证书,并强制开启https加密通讯方式