top of page

[SEG feedback & audit-login 資安事件漏洞]

Cellopoint Secure Email Gateway (SEG) 處理 Audit Request 的身份認證程序 feedbackd 有一個 Buffer Overflow 漏洞,利用特殊的 Audit Request 向前端 Web 發送請求,Web 再向 feedbackd 發送請求時會觸發此漏洞,導致 feedbackd crash;前端 Web 未能正確處理 feedbackd crash 的情況而讓 Audit Request 成功通過認證,駭客透過此漏洞可取得系統管理員身份。


本公司接獲通報後於 7/12 修正前端 Web 的處理問題,偵測 feedbackd crash 的情況;於 8/14 清除殘留於系統中的 Session Cache。 


啟用帳號設定中的 "登入 IP 控管" 可阻擋未允許的 IP 利用此漏洞,

SEG Build 20240712 (含) 以後的版本已修正此問題。

댓글


댓글 작성이 차단되었습니다.
bottom of page