此次攻击是利用亿邮邮件系统0day漏洞及其操作系统默认组件漏洞的一次设计精巧的攻击，已向厂商反馈了发现的0day漏洞和操作系统组件漏洞的细节。利用此次发现的0day漏洞可在无账号密码的情况下，下载系统任意邮件；利用其操作系统默认组件漏洞，收件人打开嵌入特定代码的邮件即可触发漏洞，获取邮件服务器eyou用户权限。将此次发现的0day漏洞与其操作系统默认组件漏洞相结合，收件人无需打开嵌入特定代码的邮件即可触发漏洞，攻击者即可直接远程获取服务器权限。鉴于相关漏洞危害性极高，利用难度极低，请广大用户核查亿邮邮件系统的使用情况，及时修补漏洞，消除安全隐患。

一、漏洞概况

二、排查方式

确认是否使用亿邮邮件系统，及时与厂商(400-111-6088)取得联系，排查风险隐患。

（一）漏洞一排查方式

1、在邮件前端服务器上任意目录执行：
curl -L “http://127.0.0.1/?q=securemail”命令
如返回Bad Request,则表明无此漏洞;如返回其他错误则存在漏洞。

2、使用浏览器访问:
http://【your server ip】/?q=securemail 或者 https://【your server ip】/?q=securemail，如返回Bad Request或者400错误则表明无此漏洞。

（二）漏洞二排查方式

确认是否安装Ghostscript，检查命令：gs –version。如返回版本号并且版本号小于等于 9.24 则表明存在此漏洞。

三、修复建议

及时与亿邮邮件系统厂商(400-111-6088)取得联系，获取补丁程序，进行漏洞修复。

（一）漏洞一修复步骤

1、将0416patch.sh文件（联系厂商获取）上传至邮件前端服务器/tmp目录下。
2、使用root用户执行:sh /tmp/0416patch.sh，执行完后系统将不会有任何返回消息。
3.请使用漏洞排查方式中涉及方法进行再次验证。

（二）漏洞二修复步骤

1、卸载Ghostscript，执行 rpm -e ghostscript –nodeps。
2、备选方案：
如操作系统中有其他应用程序必须用到此组件，可升级 Ghostscript 软件包到 9.25 以上版本.
CentOS7 可执行 yum update ghostscript 进行升级。
CentOS6 由于 CentOS 官方已不在维护，则强烈建议采用卸载 Ghostscript 方案。
3、请使用漏洞排查方式中涉及方法进行再次验证。

      (国资国企安全响应中心（CASRC）作为收集用户及自身资产相关漏洞和威胁情报的窗口，是中资网安对外发布突发安全事件处置响应的平台，旨在充分利用全社会的白帽子资源及各安全公司技术优势，以平台为纽带共同服务于国资国企网络信息安全，打造健康、可信赖的互联网安全生态。)