微软意外暴露了 dynamics 365 tls 证书,或致沙箱环境被中间人(mitm)攻击
2017-12-13 09:24:00
据外媒 12 月 11 日报道,意外暴露了一个 dynamics 365 tls 证书和私钥,暴露时间至少超过 100 天,这个情况使得沙箱环境被公开,以至于可能导致用户遭受 中间人(mitm) 攻击。
软件开发人员 matthias gliwka 在使用 microsoft erp 系统 的云版本时发现了这个问题。据悉,微软于去年开始提供 该 产品。该产品是由 azure 托管的 saas 凯发娱乐的解决方案,可通过一个全面的控制面板( life cycle services )来访问。
根据 gliwka 的说法,tls 证书用于加密用户和服务器之间的 web 通信,若攻击者提取出证书,那么将可以访问任何沙箱环境。相关人员透露,沙箱环境的主机名是customername.sandbox.operations.dynamics.com。
在此次事件中,tls 证书在用于用户验收测试(也称为“ 沙箱 ”)的 dynamics 365 沙箱环境中被公开。用户验收的作用是反映生产环境的设置 ,并且提供具有管理功能的 rdp 访问权限。所以通过 rdp 能够访问沙箱环境,从而可以了解微软如何设置一个服务器来承载关键业务应用程序。
据悉,在 gliwka 向微软反映了这个问题后,微软花了一定时间来解决它。此外,gliwka 还联系了德国技术自由职业者 hanno bock 来获取此次事件的覆盖范围。 据 gliwka 称, bock 试图用 mozilla 的 bug 追踪器提交一个 bug 标签来引发微软的行动。相关人士透露,此次事件已在在 12 月 5 日得到解决。
消息来源:,编译:榆榆,校审:fox
本文由 翻译整理,封面来源于网络。
转载请注明“转自 hackernews.cc ” 并附上原文链接。【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信