MAILSTORE-SA-2020-01

更新时间:2020-07-09 11:28:28

MAILSTORE-SA-2020-01:Outlook加载项中缺少TLS / SSL证书验证 

受影响的产品
  MailStore Outlook加载项最高为12.1.2
  电子邮件存档Outlook加载项12.1.2

参考资料
   CVE-2020-11806:https://cve.mitre.org/cgi-bin/cvename.cgi?name = CVE-2020-11806
   CWE-295:https://cwe.mitre.org/data/definitions/295.html

摘要:
   受影响产品的登录过程不会验证服务器提供的TLS / SSL证书。

影响:
   要利用易受攻击的Outlook加载项,用户必须使用标准身份验证作为登录方法,以便通过网络传输用户名和密码。

   然后,攻击者可能能够通过拦截网络连接来检索用户的登录用户名和密码,这称为中间人攻击。攻击者不需要拥有有效的证书,因此可以使用包含自签名证书的任意证书。

   如果将基于Kerberos令牌的Windows身份验证用作登录方法,则潜在的风险主要取决于为Kerberos令牌定义的安全策略。

攻击类型:
   远程

攻击媒介:
   *中间人攻击

解:
   将Outlook外接程序更新到12.1.3版或更高版本

披露时间表:
   2020-04-08开发期间发现潜在漏洞
   2020-04-09错误报告定义为漏洞报告
   2020-04-14请求的CVE编号
   2020-04-16分配了CVE编号
   2020-04-23软件更新已发布
   2020-04-23公开披露