MAILSTORE-SA-2020-01
更新时间:2020-07-09 11:28:28
MAILSTORE-SA-2020-01:Outlook加载项中缺少TLS / SSL证书验证 受影响的产品 MailStore Outlook加载项最高为12.1.2 电子邮件存档Outlook加载项12.1.2 参考资料 CVE-2020-11806:https://cve.mitre.org/cgi-bin/cvename.cgi?name = CVE-2020-11806 CWE-295:https://cwe.mitre.org/data/definitions/295.html 摘要: 受影响产品的登录过程不会验证服务器提供的TLS / SSL证书。 影响: 要利用易受攻击的Outlook加载项,用户必须使用标准身份验证作为登录方法,以便通过网络传输用户名和密码。 然后,攻击者可能能够通过拦截网络连接来检索用户的登录用户名和密码,这称为中间人攻击。攻击者不需要拥有有效的证书,因此可以使用包含自签名证书的任意证书。 如果将基于Kerberos令牌的Windows身份验证用作登录方法,则潜在的风险主要取决于为Kerberos令牌定义的安全策略。 攻击类型: 远程 攻击媒介: *中间人攻击 解: 将Outlook外接程序更新到12.1.3版或更高版本 披露时间表: 2020-04-08开发期间发现潜在漏洞 2020-04-09错误报告定义为漏洞报告 2020-04-14请求的CVE编号 2020-04-16分配了CVE编号 2020-04-23软件更新已发布 2020-04-23公开披露