Дата публикации: | 08.12.2009 |
Всего просмотров: | 2983 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Внедрение в сессию пользователя Компрометация системы |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard Edition Microsoft Windows Server 2003 Datacenter Edition Microsoft Windows Server 2003 Enterprise Edition Microsoft Windows Storage Server 2003 Microsoft Windows Server 2008 |
Уязвимые версии: Microsoft Windows 2003 Microsoft Windows 2008 Описание: 1. Уязвимость существует из-за ошибки в Active Directory Federation Services, которая позволяет злоумышленнику выдать себя за аутентифицированного пользователя при аутентификации в Web приложении, поддерживающем ADFS SSO. Для успешной эксплуатации уязвимости злоумышленник должен иметь доступ к рабочей станции и Web браузеру пользователя. 2. Уязвимость существует из-за некорректной проверки подлинности заголовков запросов в Active Directory Federation Services при подключении аутентифицированного пользователя к Web серверу, поддерживающему ADFS. Удаленный аутентифицированный пользователь может с помощью специально сформированного HTTP запроса выполнить произвольный код на целевой системе. URL производителя: www.microsoft.com Решение: Установите исправление с сайта производителя. Windows Server 2003 Service Pack 2: Windows Server 2003 x64 Edition Service Pack 2: Windows Server 2008 for 32-bit (опционально с SP2): Windows Server 2008 for x64-based (опционально с SP2): |
|
Ссылки: | (MS09-070) Vulnerabilities in Active Directory Federation Services Could Allow Remote Code Execution (971726) |