|date: 11/2016
返回列表近期,邮件安全漏洞频发,盈世公司一直以来非常关注邮件产品安全问题,2016年5月,盈世公司对旗下的Coremail邮件系统产品系列进行了系统的安全检查,发现以下漏洞并提供完整解决方案,详情如下:
|
序号 |
安全问题 |
严重等级 |
影响版本 |
Patch包 |
部署方法 |
|
1 |
邮件读信页面存在XSS跨站脚本漏洞:攻击者在邮件收件人字段中插入恶意代码,收件人在收信过程中触发漏洞脚本,导致用户cookie被盗窃,从而被攻击者对邮箱进行恶意操作。
|
高 |
XT系列:XT2.1/XT3.0 早期版本
CM系列:CM4.0/CM5.0早期版本 |
XT2.1: Patch包1: CM-22115 Patch包2:patch_wmsvr_20160601_offline.sh
XT3.0/CM5.0 : Patch包1: /20160606/*.sh Patch包2:patch_wmsvr_20160601_offline.sh |
见“部署说明.txt” |
|
2 |
邮箱loginVC.jsp页面的method参数 存在跨站脚本漏洞:在邮箱登录处,对参数method没有进行充分过滤,攻击者通过构造特殊的XSS注入语句可反弹用户cookie等身份凭证。 |
高 |
|||
|
3 |
以上patch修复包整合了以往的严重安全漏洞,重复安装patch包不受影响。 |
|
以上问题在Coremail新版本XT5.0已修复,XT5.0采用了更完善的安全技术,盈世公司建议旧版本客户升级到XT5.0版本。
盈世公司将极积配合用户及国家有关信息安全部门,做好相关信息安全保障工作,为用户提供安全可靠的邮件系统服务。
如需帮助,请登录盈世Coremail产品官网:http://www.yingshiyouxiang.com/
或拨打盈世 Coremail 安全中心服务热线:020-85106536。
盈世信息科技(北京)有限公司
二零一六年六月八日
www.xmxunwei.com
