Microsoft Forefront Unified Access Gateway sérülékenységek

CH azonosító

CH-5737

Angol cím

Microsoft Forefront Unified Access Gateway Multiple vulnerabilities

Felfedezés dátuma

2011.10.11.

Súlyosság

Magas

Érintett rendszerek

Forefront Unified Access Gateway
Microsoft

Érintett verziók

Microsoft Forefront Unified Access Gateway (UAG) 2010

Összefoglaló

A Microsoft Forefront Unified Access Gateway olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (CSS/XSS) és HTTP response splitting támadások kezdeményezésére, szolgáltatás megtagadás (DoS – Denial of Service) okozására és a felhasználó rendszerének a feltörésére.

Leírás

  1. Bizonyos, ExcelTables-szel kapcsolatos, nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTTP fejlécek beszúrására, amelyeket a felhasználónak küldött HTTP válasz is tartalmazni fog.
  2. Bizonyos, ExcelTables-szel kapcsolatos, nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására az érintett oldal felhasználói böngésző munkamenetében.
  3. Bizonyos nem részletezett bemenet nincs megfelelően ellenőrizve, mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására az érintett oldal felhasználói böngésző munkamenetében.
  4. Egy hiba található a MicrosoftClient.jar Java kisalkalmazásban, amelyet kihasználva a kliens rendszerekre rosszindulatú JAR fájlok tölthetők le és telepíthetők. A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé az átjárót használó kliensen.
  5.  A munkamenet sütik kezelésekor jelentkező hiba egy NULL értékkel kihasználható az IIS worker folyamat megállítására és a Web szolgáltatások megszakítására.

Megoldás

Telepítse a javítócsomagokat