漏洞概要
关注数(24)
关注此漏洞
漏洞标题:TurboMail邮箱系统默认配置不当可进入任意邮箱及获取管理员密码(官网也中招及大量实例)
提交时间:2014-04-23 13:07
修复时间:2014-07-23 18:38
公开时间:2014-07-23 18:38
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2014-04-23: 细节已通知厂商并且等待厂商处理中
2014-04-28: 厂商已经确认,细节仅向厂商公开
2014-05-01: 细节向第三方安全合作伙伴开放
2014-06-22: 细节向核心白帽子及相关领域专家公开
2014-07-02: 细节向普通白帽子公开
2014-07-12: 细节向实习白帽子公开
2014-07-23: 细节向公众公开
简要描述:
TurboMail邮箱系统默认配置不当配合设计缺陷可进入任意邮箱及获取管理员密码,涉及政府、金融、企业、互联网厂商、敏感部门等
如:国家工商总局、**核技术研究所、禁核试北京国家数据中心北京放射性核素实验室、国家旅游局信息中心、中国人民银行广州支行、中国银行业协会、绵阳市商业银行、国家无线电监测中心、中共广东省委党校、湖北省商务厅、广东省物价局、中国娱乐网、浙江银付通、中国一拖集团、中国长安汽车集团等等,当然还包括公安局、部队什么的,不敢写。
典型客户列表:http://www.turbomail.org/customer_case.html
详细说明:
官方网站:http://www.turbomail.org/
TurboMail邮箱系统安装后 默认会有4个root域的账号,管理员及三个普通账号:
postmaster管理员
nobody
sec_bm
sec_sj
密码都为空,官方说明文档会提醒用户修改postmaster密码,但99%都忽略了另外三个普通账号,因为它们显示的权限为普通用户,这里给使用者们一个误导。
这里虽然显示为普通账号,却具有【管理用户】的权限,而此处还存在一个设计缺陷,能看到任意用户的密码,包括管理员。
当点击用户进入管理页面时,服务器会返回用户的密码信息。
这里的密码为base64加密,如果后面有字符“3D”,需删掉再进行解密。
我们以官方为例测试一下:
如此,想进那个邮箱进哪个邮箱,邮箱里一般都有很多敏感信息的,或涉及商业、或涉及运维信息等等
华数,这位是躺枪的:
影响的用户很多:
举几个栗子:
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2014-04-28 09:37
厂商回复:
CNVD确认并复现所述情况,根据测试用例,已经转由CNCERT下发给广东、江苏等分中心,并要求广东分中心进一步协调软件生产厂商。根据厂商反馈情况,已经正式做了修补漏洞的方法和通知,并与使用有该漏洞版本的用户做了逐一联系,告知修补方法。
最新状态:
暂无
