MAILSTORE-SA-2020-01:Outlook加载项中缺少TLS / SSL证书验证
受影响的产品
MailStore Outlook加载项最高为12.1.2
电子邮件存档Outlook加载项12.1.2
参考资料
CVE-2020-11806:https://cve.mitre.org/cgi-bin/cvename.cgi?name = CVE-2020-11806
CWE-295:https://cwe.mitre.org/data/definitions/295.html
摘要:
受影响产品的登录过程不会验证服务器提供的TLS / SSL证书。
影响:
要利用易受攻击的Outlook加载项,用户必须使用标准身份验证作为登录方法,以便通过网络传输用户名和密码。
然后,攻击者可能能够通过拦截网络连接来检索用户的登录用户名和密码,这称为中间人攻击。攻击者不需要拥有有效的证书,因此可以使用包含自签名证书的任意证书。
如果将基于Kerberos令牌的Windows身份验证用作登录方法,则潜在的风险主要取决于为Kerberos令牌定义的安全策略。
攻击类型:
远程
攻击媒介:
*中间人攻击
解:
将Outlook外接程序更新到12.1.3版或更高版本
披露时间表:
2020-04-08开发期间发现潜在漏洞
2020-04-09错误报告定义为漏洞报告
2020-04-14请求的CVE编号
2020-04-16分配了CVE编号
2020-04-23软件更新已发布
2020-04-23公开披露
