(028)61831184 
工作日9:00-12:00,13:00-17:00
iservice@uestc.edu.cn
信息安全
关于Coremail邮件系统配置信息泄露漏洞的修复情况说明
发布于:2019-06-17 16:40:33   |   作者:冯卫华   |   浏览次数:

一、漏洞情况分析

2019522日,国家信息安全漏洞共享平台(CNVD)收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统信息泄露漏洞(CNVD-2019-16798)。由于Coremail邮件系统的mailsms模块的参数大小写敏感存在缺陷,使得攻击者利用该漏洞,在未授权的情况下,通过远程访问URL地址获知Coremail服务器的系统配置文件,造成数据库连接参数等系统敏感配置信息泄露。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

该漏洞的影响版本如下:

Coremail XT 3.0.1XT 5.0.9版本,XT 5.0.9a及以上版本已修复该漏洞。我校教师邮件系统为Coremail XT 5.0.7a,属于该漏洞影响范围。

CNVD秘书处对Coremail服务在我国境内的分布情况进行统计,结果显示我国境内的Coremail服务器数量约为3.7万(根据IP端口统计)。

综合CNVD技术支撑单位报送、白帽子报送、CNVD秘书处主动探测的结果显示,我国境内共有1236台服务器受此漏洞影响,影响比例约为3.3%。按受影响行业进行统计,高校占比较高。

三、漏洞修复情况

2019527日,接到论客公司维护人员发送的【电子科技大学】Mailsms问题修复通知,我校已对该漏洞进行修复。经过验证,通过浏览器访问 http://mail.uestc.edu.cn/mailsms/s?func=ADMIN:appState&dumpConfig=/,不再返回系统敏感信息,说明该漏洞已修复。

如果广大用户在邮箱使用过程中遇到任何问题,请及时与信息中心联系。