|date: 11/2016
返回列表近期,郵件安全漏洞頻發,盈世公司一直以來非常關注郵件產品安全問題,2016年5月,盈世公司對旗下的Coremail郵件系統產品系列進行了系統的安全檢查,發現以下漏洞并提供完整解決方案,詳情如下:
|
序號 |
安全問題 |
嚴重等級 |
影響版本 |
Patch包 |
部署方法 |
|
1 |
郵件讀信頁面存在XSS跨站腳本漏洞:攻擊者在郵件收件人字段中插入惡意代碼,收件人在收信過程中觸發漏洞腳本,導致用戶cookie被盜竊,從而被攻擊者對郵箱進行惡意操作。
|
高 |
XT系列:XT2.1/XT3.0 早期版本
CM系列:CM4.0/CM5.0早期版本 |
XT2.1: Patch包1: CM-22115 Patch包2:patch_wmsvr_20160601_offline.sh
XT3.0/CM5.0 : Patch包1: /20160606/*.sh Patch包2:patch_wmsvr_20160601_offline.sh |
見“部署說明.txt” |
|
2 |
郵箱loginVC.jsp頁面的method參數 存在跨站腳本漏洞:在郵箱登錄處,對參數method沒有進行充分過濾,攻擊者通過構造特殊的XSS注入語句可反彈用戶cookie等身份憑證。 |
高 |
|||
|
3 |
以上patch修復包整合了以往的嚴重安全漏洞,重復安裝patch包不受影響。 |
|
以上問題在Coremail新版本XT5.0已修復,XT5.0采用了更完善的安全技術,盈世公司建議舊版本客戶升級到XT5.0版本。
盈世公司將極積配合用戶及國家有關信息安全部門,做好相關信息安全保障工作,為用戶提供安全可靠的郵件系統服務。
如需幫助,請登錄盈世Coremail產品官網:http://www.yingshiyouxiang.com/
或撥打盈世 Coremail 安全中心服務熱線:020-85106536。
盈世信息科技(北京)有限公司
二零一六年六月八日
www.win-share.cn
