中文 \ English

当前位置:首页 > 信息安全 > 漏洞公告

Microsoft Outlook Web Access no-store HTTP指令信息泄漏漏洞

作者:冠廷集团  部门:计算机网络信息安全实验室  来源:漏洞研究中心  发布时间:2008-05-12 04:26:49

BUGTRAQ ID: 29121
CNCAN ID:CNCAN-20080051205

漏洞消息时间:2008-05-09

漏洞起因
设计错误

影响系统
Microsoft Outlook Web Access

不受影响系统

危害
远程攻击者可以利用漏洞获得敏感信息。

攻击所需条件
攻击者必须访问Outlook Web Access所在系统。

漏洞信息
Outlook Web Access是一款Microsoft Exchange中用于通过Web浏览器读取和发送邮件的工具。
部分Outlook Web Access版本允许使用非缓存代替no-store HTTP 1.1指示,远程攻击者可以利用漏洞获得敏感信息。
部分版本的Outlook Web Access使用Cache-Control: no-cache HTTP 1.1指示,使用非缓存代替no-store指示,可导致WEB浏览器关闭遵循RFC 2616规则来存储敏感信息。因此可能导致Outlook Web Access会话的敏感信息存储到磁盘上。

测试方法

厂商解决方案
目前没有详细解决方案提供:
http://office.microsoft.com/en-us/outlook/HA010860351033.aspx

漏洞提供者
Bill KNox

漏洞消息链接
http://www.kb.cert.org/vuls/id/829876

漏洞消息标题
Vulnerability Note VU#829876
Microsoft Outlook Web Access may not use the no-store HTTP directive

上一个新闻:Ourgame GLIEDown2.dll ActiveX控件远程代码执行漏洞

下一个新闻:Red Hat Directory Server LDAP查询模式缓冲区溢出漏洞


同类新闻