Security Lab

Множественные уязвимости в Microsoft Forefront Unified Access Gateway

Дата публикации:10.11.2010
Всего просмотров:2136
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:4
CVSSv2 рейтинг: 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
CVE ID: CVE-2010-2732
CVE-2010-2733
CVE-2010-2734
CVE-2010-3936
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Спуфинг атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Forefront Unified Access Gateway (UAG) 2010
Уязвимые версии: Microsoft Forefront Unified Access Gateway (UAG) 2010

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и спуфинг атаку.

1. Уязвимость существует из-за бреши в приложении, которая позволяет перенаправлять пользователей на недоверенный сайт и, таким образом, подменить настоящий Web интерфейс UAG.

2. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

3. Уязвимость существует из-за недостаточной обработки входных данных на сайте UAG Mobile Portal. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

4. Уязвимость существует из-за недостаточной обработки входных данных в сценарии Signurl.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: www.microsoft.com

Решение: Установите исправление с сайта производителя.

Forefront Unified Access Gateway 2010:
http://www.microsoft.com/downloads/details.aspx?familyid=5f2ee08e-e289-47db-bd3f-7b9cfc1eb985

Forefront Unified Access Gateway 2010 Update 1:
http://www.microsoft.com/downloads/details.aspx?familyid=db0b70c8-1fa5-4d92-9888-3500c7566b19

Forefront Unified Access Gateway 2010 Update 2:
http://www.microsoft.com/downloads/details.aspx?familyid=4e3ee07a-771c-46ee-959f-82389bab67d7

Ссылки: MS10-089: Vulnerabilities in Forefront Unified Access Gateway (UAG) Could Allow Elevation of Privilege (2316074)