0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

Coremail存在多個安全漏洞預(yù)警

pIuy_EAQapp ? 來源:YXQ ? 2019-06-18 14:06 ? 次閱讀

2019年6月14,Coremail發(fā)布了3個高危漏洞的安全公告,補(bǔ)丁編號:CMXT5-2019-0001,涉及模塊apiws,補(bǔ)丁修復(fù)IP限制不合理和存在路徑遍歷的漏洞;補(bǔ)丁編號:CMXT5-2019-0002,涉及模塊mailsms,補(bǔ)丁修復(fù)信息泄露的漏洞;補(bǔ)丁編號:CMXT5-2019-0003,涉及模塊wmsvr,補(bǔ)丁修復(fù)信息泄露的漏洞、反射型XSS、路徑遍歷、越界訪問、設(shè)備驗(yàn)證算法缺陷等漏洞;

根據(jù)公告,該漏洞存在于Coremail的Web服務(wù)端口,攻擊者可以通過訪問apiws、mailsms、wmsvr接口和模塊獲取郵件服務(wù)配置信息(如:數(shù)據(jù)庫連接賬號密碼),通過泄露的信息,從而進(jìn)一步進(jìn)行越權(quán)訪問。

2.影響版本

Coremail信息泄露漏洞,越界訪問等漏洞,主要影響Coremail的Web服務(wù)端口,非Web服務(wù)端口(SMTP、POP3)不受影響。

3.影響范圍

通過安恒研究院SUMAP平臺針對全球Coremail服務(wù)的資產(chǎn)情況統(tǒng)計(jì),最新查詢分布情況如下:

通過安恒研究院SUMAP平臺針對國內(nèi)Coremail服務(wù)的資產(chǎn)情況統(tǒng)計(jì),最新查詢分布情況如下:

4.緩解措施

緊急:目前針對該漏洞的利用代碼已經(jīng)出現(xiàn),建議盡快進(jìn)行安全更新或做好安全加固配置。

Coremail官方已經(jīng)提供安全更新補(bǔ)丁,請及時更新補(bǔ)丁,或直接暫停Web服務(wù),如果部署有相應(yīng)的安全設(shè)備,請監(jiān)控對/apiws/路徑的請求記錄。

安恒的漏掃和Web漏洞掃描器已支持該漏洞識別,APT、DPI、WAF、NTA、玄武盾等產(chǎn)品已支持攻擊包檢測和發(fā)現(xiàn)。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 補(bǔ)丁
    +關(guān)注

    關(guān)注

    0

    文章

    27

    瀏覽量

    8532
  • 郵箱
    +關(guān)注

    關(guān)注

    0

    文章

    5

    瀏覽量

    7812

原文標(biāo)題:Coremail多個安全漏洞預(yù)警

文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦

    對稱加密技術(shù)有哪些常見的安全漏洞?

    對稱加密技術(shù)在實(shí)際應(yīng)用中可能面臨的安全漏洞主要包括: 實(shí)現(xiàn)不當(dāng): 錯誤的加解密實(shí)現(xiàn)、弱隨機(jī)數(shù)生成器或其他邏輯錯誤都可能導(dǎo)致安全漏洞。 漏洞利用: 利用已知的弱點(diǎn)或攻擊手段,如理論上可行的分組攻擊或側(cè)
    的頭像 發(fā)表于 12-16 13:59 ?99次閱讀

    Coremail亮相世界互聯(lián)網(wǎng)大會“互聯(lián)網(wǎng)之光”博覽會

    11月19-22日,2024年世界互聯(lián)網(wǎng)大會烏鎮(zhèn)峰會盛大舉辦,期間,“互聯(lián)網(wǎng)之光”博覽會“網(wǎng)絡(luò)安全”新產(chǎn)品新技術(shù)發(fā)布活動在烏鎮(zhèn)互聯(lián)網(wǎng)國際會展中心紅亭發(fā)布區(qū)舉行,Coremail亮相發(fā)布現(xiàn)場,展示郵箱
    的頭像 發(fā)表于 11-27 15:57 ?162次閱讀
    <b class='flag-5'>Coremail</b>亮相世界互聯(lián)網(wǎng)大會“互聯(lián)網(wǎng)之光”博覽會

    物聯(lián)網(wǎng)系統(tǒng)的安全漏洞分析

    設(shè)備制造商的安全意識不足 許多物聯(lián)網(wǎng)設(shè)備制造商在設(shè)計(jì)和生產(chǎn)過程中,往往忽視了安全問題,導(dǎo)致設(shè)備存在先天性的安全漏洞。這些漏洞可能包括弱密碼
    的頭像 發(fā)表于 10-29 13:37 ?375次閱讀

    高通警告64款芯片存在“零日漏洞”風(fēng)險

    近日,高通公司發(fā)布了一項(xiàng)重要的安全警告,指出其多達(dá)64款芯片組中存在一項(xiàng)潛在的嚴(yán)重“零日漏洞”,編號為CVE-2024-43047。這一漏洞位于數(shù)字信號處理器(DSP)服務(wù)中,已經(jīng)出現(xiàn)
    的頭像 發(fā)表于 10-14 15:48 ?2482次閱讀

    如何使用 IOTA?分析安全漏洞的連接嘗試

    在當(dāng)今數(shù)字化世界中,網(wǎng)絡(luò)安全變得至關(guān)重要。本文將探討如何利用流量數(shù)據(jù)分析工具來發(fā)現(xiàn)和阻止安全漏洞和惡意連接。通過分析 IOTA 流量,您可以了解如何識別不當(dāng)行為,并采取適當(dāng)?shù)拇胧﹣肀Wo(hù)您的網(wǎng)絡(luò)和數(shù)據(jù)。我們將深入研究IOTA的工作流程,以了解如何準(zhǔn)確地分析連接嘗試,并識別可
    的頭像 發(fā)表于 09-29 10:19 ?267次閱讀
    如何使用 IOTA?分析<b class='flag-5'>安全漏洞</b>的連接嘗試

    漏洞掃描的主要功能是什么

    弱點(diǎn),以減少潛在的安全風(fēng)險。 1. 漏洞識別 漏洞掃描的首要功能是識別系統(tǒng)中存在安全漏洞。這些漏洞
    的頭像 發(fā)表于 09-25 10:25 ?410次閱讀

    蘋果macOS 15 Sequoia將修復(fù)18年老漏洞,筑牢企業(yè)內(nèi)網(wǎng)安全防線

    8月8日,網(wǎng)絡(luò)安全領(lǐng)域傳來重要消息,一個長達(dá)18年的安全漏洞正在被黑客廣泛利用,以入侵企業(yè)內(nèi)網(wǎng),威脅企業(yè)信息安全。幸運(yùn)的是,蘋果公司已確認(rèn)在其即將推出的macOS 15 Sequoia系統(tǒng)中將修復(fù)這一長期
    的頭像 發(fā)表于 08-08 17:16 ?476次閱讀

    小米科技高級安全專家:智能汽車Tbox安全漏洞分析

    GeekPwn和汽車安全比賽并榮獲多項(xiàng)大獎。精通IOT、移動端和車聯(lián)網(wǎng)安全。在車聯(lián)網(wǎng)安全體系建設(shè)和漏洞挖掘上有著豐富的安全經(jīng)驗(yàn)和深入的研究。
    的頭像 發(fā)表于 05-27 14:31 ?1247次閱讀
    小米科技高級<b class='flag-5'>安全</b>專家:智能汽車Tbox<b class='flag-5'>安全漏洞</b>分析

    微軟確認(rèn)4月Windows Server安全更新存在漏洞,或致域控問題

    微軟于昨日公告,承認(rèn)其 4 月份發(fā)布的 Windows Server 安全補(bǔ)丁存在漏洞,該漏洞可能導(dǎo)致 LSASS 進(jìn)程崩潰,進(jìn)一步引發(fā)域控制器的啟動問題。
    的頭像 發(fā)表于 05-09 16:07 ?692次閱讀

    PuTTY等工具曝嚴(yán)重安全漏洞:可還原私鑰和偽造簽名

    據(jù)報道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。僅需使用60個簽名,攻擊者即可還原私鑰。為應(yīng)對此風(fēng)險,官方更新推出0.81版本,呼吁使用者盡快升級。
    的頭像 發(fā)表于 04-18 10:06 ?674次閱讀

    微軟修復(fù)兩個已被黑客利用攻擊的零日漏洞

    此次更新的精英賬號“泄露型”安全漏洞(代號:CVE-2024-26234)源于代理驅(qū)動程序欺騙漏洞。蘿卜章利用可信的微軟硬件發(fā)布證書簽名惡意驅(qū)動程序。
    的頭像 發(fā)表于 04-10 14:39 ?557次閱讀

    iOS 17.4.1修復(fù)兩安全漏洞,涉及多款iPhone和iPad

     據(jù)報道,iOS/iPadOS17.4.1主要解決了Google Project Zero團(tuán)隊(duì)成員Nick Galloway發(fā)現(xiàn)并報告的兩大安全漏洞(CVE-2024-1580)。
    的頭像 發(fā)表于 03-26 10:47 ?738次閱讀

    物聯(lián)網(wǎng)邊緣設(shè)備安全:IIoT安全的硬件解決方案

    IIoT環(huán)境中存在安全漏洞可能會給犯罪分子以可乘之機(jī),終將導(dǎo)致企業(yè)機(jī)密泄露或敏感數(shù)據(jù)丟失,比如產(chǎn)品制造藍(lán)圖或關(guān)鍵業(yè)務(wù)信息等。
    發(fā)表于 02-28 09:25 ?748次閱讀
    物聯(lián)網(wǎng)邊緣設(shè)備<b class='flag-5'>安全</b>:IIoT<b class='flag-5'>安全</b>的硬件解決方案

    蘋果承認(rèn)GPU存在安全漏洞

    蘋果公司近日確認(rèn),部分設(shè)備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagination制造的多種圖形處理器。根據(jù)報告,iPhone 12和M2 MacBook A
    的頭像 發(fā)表于 01-18 14:26 ?685次閱讀

    源代碼審計(jì)怎么做?有哪些常用工具

    源代碼審計(jì)是一種通過檢查源代碼來發(fā)現(xiàn)潛在的安全漏洞的方法。 下面是常用的源代碼審計(jì)工具: 1、Fortify:通過內(nèi)置的五大主要分析引擎,對源代碼進(jìn)行靜態(tài)分析,并與特有的軟件安全漏洞規(guī)則集進(jìn)行全面
    發(fā)表于 01-17 09:35