|date: 11/2016

返回列表

上海盈世Coremail企業(yè)郵件系統(tǒng)安全技術(shù)更新公告

近期,郵件安全漏洞頻發(fā),盈世公司一直以來非常關(guān)注郵件產(chǎn)品安全問題,2016年5月,盈世公司對(duì)旗下的Coremail郵件系統(tǒng)產(chǎn)品系列進(jìn)行了系統(tǒng)的安全檢查,發(fā)現(xiàn)以下漏洞并提供完整解決方案,詳情如下:

 

序號(hào)

安全問題

嚴(yán)重等級(jí)

影響版本

Patch包

部署方法

1

郵件讀信頁面存在XSS跨站腳本漏洞:攻擊者在郵件收件人字段中插入惡意代碼,收件人在收信過程中觸發(fā)漏洞腳本,導(dǎo)致用戶cookie被盜竊,從而被攻擊者對(duì)郵箱進(jìn)行惡意操作。

 

 

XT系列:XT2.1/XT3.0 早期版本

 

 

CM系列:CM4.0/CM5.0早期版本

XT2.1:

Patch包1:

CM-22115

Patch包2:patch_wmsvr_20160601_offline.sh

 

 

XT3.0/CM5.0 :

Patch包1:

/20160606/*.sh

Patch包2:patch_wmsvr_20160601_offline.sh

見“部署說明.txt”

2

郵箱loginVC.jsp頁面的method參數(shù) 存在跨站腳本漏洞:在郵箱登錄處,對(duì)參數(shù)method沒有進(jìn)行充分過濾,攻擊者通過構(gòu)造特殊的XSS注入語句可反彈用戶cookie等身份憑證。

3

以上patch修復(fù)包整合了以往的嚴(yán)重安全漏洞,重復(fù)安裝patch包不受影響。

 

 

     以上問題在Coremail新版本XT5.0已修復(fù),XT5.0采用了更完善的安全技術(shù),盈世公司建議舊版本客戶升級(jí)到XT5.0版本。

盈世公司將極積配合用戶及國家有關(guān)信息安全部門,做好相關(guān)信息安全保障工作,為用戶提供安全可靠的郵件系統(tǒng)服務(wù)。
    如需幫助,請登錄盈世Coremail產(chǎn)品官網(wǎng):http://www.yingshiyouxiang.com/

或撥打盈世 Coremail 安全中心服務(wù)熱線:020-85106536。

盈世信息科技(北京)有限公司

二零一六年六月八日

廈門訊為科技有限公司

www.epiaosuo.com

地址:中國·福建·廈門市思明區(qū)后埭溪路28號(hào)皇達(dá)大廈22F

電話:0592-2200676 微信:wu-xiuchun

Copyright ? 2016 閩ICP備16032030號(hào)-1

服務(wù)熱線:

0592-2200676