首页 -> 安全研究
安全研究
安全漏洞
Microsoft Outlook Express SMTP TLS通信远程信息泄露漏洞
发布日期:2002-07-19
更新日期:2002-07-26
受影响系统:
Microsoft Outlook Express 4.0描述:
- Microsoft Windows NT 4.0
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
Microsoft Outlook Express 4.27.3110
- Microsoft Windows NT 4.0
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
Microsoft Outlook Express 4.72.2106
- Microsoft Windows NT 4.0
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
Microsoft Outlook Express 4.72.3120
- Microsoft Windows NT 4.0
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
Microsoft Outlook Express 4.72.3612
- Microsoft Windows NT 4.0
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
Microsoft Outlook Express 5.0
- Microsoft Windows NT 4.0
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
Microsoft Outlook Express 5.5
- Microsoft Windows NT 4.0
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
Microsoft Outlook Express 6.0
- Microsoft Windows NT 4.0
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
Microsoft Outlook Express for MacOS 4.5
- Apple MacOS 8.0
Microsoft Outlook Express for MacOS 5.0
- Apple MacOS 9.0
- Apple MacOS 8.6
- Apple MacOS 8.5
- Apple MacOS 8.1
- Apple MacOS 8.0
Microsoft Outlook Express for MacOS 5.0.1
- Apple MacOS 9.0
- Apple MacOS 8.0
- Apple MacOS 7.0
- Apple MacOS 10.1
- Apple MacOS 10.0
Microsoft Outlook Express for MacOS 5.0.2
- Apple MacOS 9.0
- Apple MacOS 8.0
- Apple MacOS 7.0
- Apple MacOS 10.1
- Apple MacOS 10.0
Microsoft Outlook Express for MacOS 5.0.3
- Apple MacOS 9.0
- Apple MacOS 8.0
- Apple MacOS 7.0
- Apple MacOS 10.1
- Apple MacOS 10.0
BUGTRAQ ID: 5274
Microsoft Outlook Express是一款Microsoft公司开发的流行的EMAIL客户端,Microsoft Outlook Express支持RFC 2487定义的使用TLS进行安全SMTP通信。
Microsoft Outlook Express通过TLS进行通信时在对客户端和服务器端的身份鉴别处理上存在漏洞,远程攻击者可以利用这个漏洞获得客户端SMTP AUTH认证信息。
通过TLS进行通信时,客户端和服务器端可以无需验证成功进行加密连接通信,不过虽然传输的数据是加密的,但客户端和服务器端的身份识别缺少安全的定义。如果SMTP服务器支持STARTTLS命令,并有合法的证书,Outlook Express就自动的传送用户的SMTP AUTH认证信息给SMTP服务器,造成信息泄露。
其他SMTP邮件客户端也可能存在此漏洞。
<*来源:Owen, Greg (Greg_Owen_at_vibren.com)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-07/0219.html
http://www.ietf.org/rfc/rfc2487.txt
*>
建议:
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/
浏览次数:3417
严重程度:0(网友投票)
绿盟科技给您安全的保障