中国网讯  近日，国家信息安全漏洞共享平台（CNVD）收录了由天融信科技集团报送的Coremail邮件系统配置信息泄露漏洞（CNVD-2019-16798）。CNVD对该漏洞的综合评级为“高危”。攻击者利用该漏洞，可在未授权的情况下获取敏感配置文件信息。目前，CNVD已通报相关软件厂商，并协助其进行漏洞修复，以便及时消除漏洞攻击隐患，并对天融信科技集团在此次事件中提供的技术支持表示感谢。

Coremail邮件系统是论客科技（广州）有限公司（以下简称论客公司）自主研发的大型企业邮件系统。截止2019年，Coremail邮件系统产品在国内已拥有10亿终端用户，不但为网易（126、163、yeah）、移动，联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务，还为石油、钢铁、电力、政府、金融、教育、尖端制造企业等用户提供邮件系统软件和反垃圾服务。近期被发现的安全漏洞为：邮件系统的关键配置文件无需身份验证即可通过HTTP协议进行读取，导致配置文件中存储的数据库密码等关键信息的泄露。经验证，该漏洞确实存在敏感信息泄露（如SQL 相关IP 端口 密码等信息、同时还包含一些敏感文件路径等信息），该配置文件可能包含整个邮件系统内部组件通讯的相关信息。

CNVD秘书处主动探测的结果显示，我国境内共有1236台服务器受此漏洞影响。CNVD秘书处对Coremail服务在我国境内的分布情况进行统计，结果显示我国境内的Coremail服务器数量约为3.7万（根据IP端口统计）。天融信WEB应用安全防护系统（TopWAF产品）以及天融信公司自主研发的入侵防御系统（TopIDP产品）均可以抵御利用该漏洞进行的网络攻击。

此次CoreMail邮件系统配置信息泄露漏洞报送工作主要由天融信阿尔法实验室完成，天融信阿尔法实验室成立于2011年，秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断探索。

早在2009年CNVD成立之初，天融信就是其最早的技术合作单位之一，漏洞报送数量一直位居前列，所提交的漏洞多次被CNVD收录。未来，天融信将进一步发挥自身优势，持续研究、跟踪国内外最新安全漏洞，大力支持CNVD的漏洞信息报送和应急响应工作，为客户及时发现安全隐患提供强有力的保障，为服务于国家网络安全建设、营造安全可信的网络空间贡献企业力量。