背景
6月14日,流行邮件系统Coremail配置信息泄露漏洞在网络流传。该漏洞可造成coremail的配置文件信息泄露,其中包括数据库连接的用户名密码等高度敏感的信息。
Coremail诞生于1999年,经过二十多年发展。Coremail邮件系统产品在国内已拥有10亿终端用户,是目前国内拥有邮箱使用用户最多的邮件系统。Coremail为网易(126、163、yeah)、移动,联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务,还为石油、钢铁、电力、政府、金融、教育、尖端制造企业等用户提供邮件系统软件和反垃圾服务。
因而,Coremail邮件系统可导致信息泄露的漏洞引起广泛的关注。
漏洞原理和危害
该漏洞可通过固定的url地址即可查看coremail的配置文件内容,使邮件系统的关键配置文件可通过HTTP协议进行读取,且无需身份验证。
其结果是,造成coremail的配置文件信息(如SQL 相关IP 端口 密码等信息、同时还包含一些敏感文件路径等信息)泄露,进而导致数据库密码泄露,该配置文件可能包含整个邮件系统内部组件通讯的相关信息。
漏洞级别:高危
安全建议:
目前官方尚无明确回应,暂无根除方案。建议仅允许VPN连接后访问,以降低信息泄露风险。另请用户高度关注Coremail官网的安全公告,及时修补漏洞。
腾讯御界高级威胁检测系统,已支持该风险的检测告警。
