Open-Xchange Server及OX App Suite信息泄露漏洞(CVE-2014-9466
发表日期:2015-02-26 10:25:17
Open-Xchange Server及OX App Suite信息泄露漏洞(CVE-2014-9466)
BugTraq-ID:72587
CVE-ID:CVE-2014-9466
发布日期:2015-02-12
更新日期:2015-02-13
受影响系统:
open-xchange Open-Xchange Server <= 7.6.1
open-xchange OX App Suite
未受影响系统:
open-xchange Open-Xchange Server 7.6.1-rev14
open-xchange Open-Xchange Server 7.6.0-rev36
open-xchange Open-Xchange Server 7.4.2-rev42
详细信息:
Open-Xchange Server是部分开源的项目,主要开发协同软件,例如电子邮件、日历等。OX App Suite是提供云服务的模块化平台。
Open-Xchange Server 6及之前版本、OX AppSuite 7.6.1及之前版本,发布机制允许外部数据使用者共享文件,安全访问通过随机哈希及仅访问共享目录或文件实现,但却忽略了文件夹标识符。如果用户可以访问发布信息,则可访问其他非发布文件内容。
来源:
Open-Xchange GmbH
解决办法:
厂商补丁:
open-xchange
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.open-xchange.com/home.html