趋势科技邮件加密网关中被曝存在高危缺陷
翻译:360代码卫士团队
研究人员在趋势科技公司的邮件加密网关 (Email EncryptionGateway) 中发现了十几个漏洞,其中一些被评为高危漏洞。多数漏洞已修复。
上周,Core Security 公司披露称公司员工在这款 Linux 邮件加密产品中发现了多个漏洞。其中最为严重的漏洞可导致具有目标系统访问权限的本地或远程攻击者以根权限执行任意命令。
Core Security 公司发布安全公告,详细说明了所发现漏洞的情况。这些漏洞已获得的 CVE 编号是 CVE-2018-6219 至 CVE-2018-6230。
最为严重的CVSS评分最高的漏洞是 CVE-2018-6223,跟认证缺失问题相关。系统管理员能通过注册端点在部署进程中配置运行邮件加密网关的虚拟设备。问题在于,这个端点可在未经验证的情况下被访问,从而导致攻击者设置管理员用户名和密码以及做出其它配置更改。
研究人员发现的其它缺陷还包括 SQL 和 XML 外部实体 (XXE) 注入。
趋势科技公司告知消费者称,这些漏洞影响邮件加密网关5.5 版本1111 以及运行在虚拟设备上的早期版本。补丁已包含在5.5 版本1129中。值得注意的是,趋势科技发布这些修复方案用了半年多的时间。
“出于实现难度以及对解决方案的关键的正常产品功能的负面影响的考虑”,一个跨站请求伪造中危漏洞和一个 SQL 注入低危漏洞并未修复。不过该公司提供了一些缓解措施。
趋势科技公司还表示,邮件加密网关的生命周期很快将结束,因此建议消费者迁移到提供类似功能的 InterScan 通讯安全 (InterScan Messaging Security) 产品。
这并非 Core Security 公司首次从趋势科技产品中发现漏洞。去年12月,该公司还公布了从趋势科技智能保护服务器产品中发现的五个安全漏洞。
关联阅读
Mozilla修复开源邮件客户端 Thunderbird 中的严重漏洞
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.securityweek.com/dozen-flaws-found-trend-micro-email-encryption-gateway