嘿微软,这是贵公司的私钥吗?
这年头证书泄密似乎是再平常不过的事儿:这不,微软近日不小心泄露了Dynamics 365 TLS证书和私钥;据发现这起事件的人士声称,微软需要整整100天才能修复这个漏洞。
住在德国斯图加特的软件开发员马赛厄斯•格利瓦卡(Matthias Gliwka)在捣鼓微软企业资源规划(ERP)系统的这个云版本时发现了这个漏洞。
格利瓦卡在知名媒体网站Medium上撰文(https://medium.com/matthias-gliwka/microsoft-leaks-tls-private-key-for-cloud-erp-product-10b56f7d648)时表示,Dynamics 365沙盒环境泄露了TLS证书,而沙盒环境正是为用户验收测试设计的。
不像开发环境的服务器和生产环境的服务器,沙盒为管理员提供了远程桌面访问(RDP)访问权限,“而这正是开始好玩的地方。”
有了这个证书(可以用相当基础的工具来加以导入)和私钥,格利瓦卡表示,任何中间人都能看到明文格式的用户通信内容,而且可以在不知察觉的情况下篡改这些信息。
早在10月5日格利瓦卡就在Twitter上吐槽:45天前就报告了一款云产品泄露了TLS私钥,却毫无回应。贵公司可以关注一下吗?工单号#40397。
格利瓦卡详细描述了他与微软之间的邮件往来以解释这个问题,但发现虽然自己努力让这个问题得到解决,微软却没有给予足够的重视,于是他联系了德国科技自由撰稿人汉诺•博克(Hanno Böck)以报道此事。
博克试图用Mozilla的缺陷跟踪工具(bug tracker,因为许多浏览器可以跟踪哪些证书是可靠的)来提交缺陷工单(bug ticket)后,这才促使微软行动起来。格利瓦克写道,这个漏洞在12月5日总算被堵住了――这离他最早在8月17日通知微软此事已过去了相当长的一段时间。
领取专属 10元无门槛券
私享最新 技术干货