Windows Active Directory Federation Services két sérülékenysége

CH azonosító

CH-2715

Felfedezés dátuma

2009.12.07.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows Server 2003
Windows Server 2008

Érintett verziók

Microsoft Windows Server 2003 SP2, x64 SP2
Microsoft Windows Server 2008 32-bit, SP2, x64, x64 SP2

Összefoglaló

Két sérülékenységet jelentettek a Microsoft Windows operációs rendszerben, amelyet kihasználva rosszindulatú felhasználók más felhasználónak adhatják ki magukat, vagy feltörhetik a sérülékeny rendszert.

Leírás

Két sérülékenységet jelentettek a Microsoft Windows operációs rendszerben, amelyet kihasználva rosszindulatú felhasználók más felhasználónak adhatják ki magukat, vagy feltörhetik a sérülékeny rendszert.

  1. A nem megfelelő munkamenet kezelés az Active Directory Federation Services-ben (ADFS) kihasználható egy másik felhasználó megszemélyesítésére egy olyan weboldalon, amely egyszeri bejelentkezést használ.

    A sikeres kihasználás feltétele, hogy a támadó hozzáférjen a felhasznált azonosító tokenekhez.
  2. Az ADFS egy beazonosítatlan, kérések fejlécének feldolgozásakor jelentkező hibája kihasználható tetszőleges kód futtatására Worker Process Identity (WPI) jgosultsággal, egy speciálisan erre a célra elkészített HTTP kérés küldésével egy olyan webszervernek, ahol az ADFS engedélyezve van.

Megoldás

Telepítse a javítócsomagokat

Hivatkozások

Gyártói referencia: support.microsoft.com
Gyártói referencia: www.microsoft.com
SECUNIA:http://secunia.com/advisories/37542
CVE-2009-2508 - NVD CVE-2009-2508
CVE-2009-2509 - NVD CVE-2009-2509


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »