Mozilla Thunderbird不安全SMTP认证协议协商漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1197468 漏洞类型 设计错误
发布时间 2005-11-01 更新时间 2005-11-15
CVE编号 CVE-2005-3402 CNNVD-ID CNNVD-200511-002
漏洞平台 N/A CVSS评分 2.6
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200511-002
|漏洞详情
MozillaThunderbird是由Mozilla浏览器的邮件功能部件所改造的邮件工具,使用XUL程序介面语言所设计,是专门为搭配MozillaFirefox浏览器使用者所设计的邮件客户端软件,介面设计更简洁、而且免安装。MozillaThunderbird1.0.5BETA,1.0.7以及其他可能版本中的SMTP客户机,在无法建立与服务器之间的安全通道时不会通知用户,这可让远程攻击者通过中间人(MITM)攻击绕过TLS认证,或将CRAM-MD5认证降级为明文认证,从而无需检测即可获得认证信息。
|参考资料

来源:MISC
链接:https://bugzilla.mozilla.org/show_bug.cgi?id=311657
来源:BUGTRAQ
名称:20051025Re:MozillaThunderbirdSMTPdown-negotiationweakness
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=113034421329653&w=2
来源:BUGTRAQ
名称:20051025MozillaThunderbirdSMTPdown-negotiationweakness
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=113028017608146&w=2
来源:BID
名称:15106
链接:http://www.securityfocus.com/bid/15106