Érintett rendszerek
ISA ServerMicrosoft
Érintett verziók
Microsoft ISA Server 2006, Supportability Update, SP1
Összefoglaló
Egy sérülékenységet jelentettek a Microsoft ISA Serverben, amelyet a rosszindulatú támadók kihasználhatnak és megkerülhetnek bizonyos biztonsági korlátozásokat.
Leírás
Egy sérülékenységet jelentettek a Microsoft ISA Serverben, amelyet a rosszindulatú támadók kihasználhatnak és megkerülhetnek bizonyos biztonsági korlátozásokat.
A sérülékenységet egy meghatározatlan hiba okozza a HTTP-Basic autentikációs eljárás használatakor, amely kihasználható egy publikált oldal erőforrásainak eléréséhez.
A sikeres kihasználáshoz szükséges egy érvényes adminisztrációs felhasználónév, továbbá, hogy az ISA Server a Radius One Time Password (OTP) autentikációs eljárást és a Kerberos Constrained Delegation autentikáció delegálást alkalmazza.
Megjegyzés: A sérülékenységet kihasználva az autentikációra az ISA Server 2006 Web publikációs szabályait használó rendszer feltörhető.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Authentication Issues (Hitelesítés)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.microsoft.com
CVE-2009-1135 - NVD CVE-2009-1135
SECUNIA 35784