|date: 11/2016

返回列表

上海盈世Coremail企業郵件系統安全技術更新公告

近期,郵件安全漏洞頻(pín)發,盈世公司一直以來(lái)非常關注郵件産品安全問題,2016年5月(yuè),盈世公司對(duì)旗下(xià)的(de)Coremail郵件系統産品系列進行了(le)系統的(de)安全檢查,發現以下(xià)漏洞并提供完整解決方案,詳情如下(xià):

 

序号

安全問題

嚴重等級

影(yǐng)響版本

Patch包

部署方法

1

郵件讀信頁面存在XSS跨站腳本漏洞:攻擊者在郵件收件人(rén)字段中插入惡意代碼,收件人(rén)在收信過程中觸發漏洞腳本,導緻用(yòng)戶cookie被盜竊,從而被攻擊者對(duì)郵箱進行惡意操作。

 

高(gāo)

 

XT系列:XT2.1/XT3.0 早期版本

 

 

CM系列:CM4.0/CM5.0早期版本

XT2.1:

Patch包1:

CM-22115

Patch包2:patch_wmsvr_20160601_offline.sh

 

 

XT3.0/CM5.0 :

Patch包1:

/20160606/*.sh

Patch包2:patch_wmsvr_20160601_offline.sh

見“部署說明(míng).txt”

2

郵箱loginVC.jsp頁面的(de)method參數 存在跨站腳本漏洞:在郵箱登錄處,對(duì)參數method沒有進行充分(fēn)過濾,攻擊者通(tōng)過構造特殊的(de)XSS注入語句可(kě)反彈用(yòng)戶cookie等身份憑證。

高(gāo)

3

以上patch修複包整合了(le)以往的(de)嚴重安全漏洞,重複安裝patch包不受影(yǐng)響。

 

 

     以上問題在Coremail新版本XT5.0已修複,XT5.0采用(yòng)了(le)更完善的(de)安全技術,盈世公司建議(yì)舊(jiù)版本客戶升級到XT5.0版本。

盈世公司将極積配合用(yòng)戶及國家有關信息安全部門,做(zuò)好相關信息安全保障工作,爲用(yòng)戶提供安全可(kě)靠的(de)郵件系統服務。
    如需幫助,請登錄盈世Coremail産品官網:http://www.yingshiyouxiang.com/

或撥打盈世 Coremail 安全中心服務熱(rè)線:020-85106536。

盈世信息科技(北(běi)京)有限公司

二零一六年六月(yuè)八日

廈門合信華通科技有限公司

www.xmxunwei.com

地址:中國·福建·廈門市思明(míng)區(qū)後埭溪路28号皇達大(dà)廈22F

電話(huà):0592-2200676 微信:wu-xiuchun

Copyright © 2016 京ICP證000000号

服務熱(rè)線:

0592-2200676