Vulnerability Bulletins |
Múltiples vulnerabilidades en Microsoft Active Directory Federation Services |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de privilegios |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Microsoft |
| Affected software | Microsoft Active Directory Federation Services |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en Microsoft Active Directory Federation Services. Las vulnerabilidades son descritas a continuación: - CVE-2009-2508: La vulnerabilidad reside en un error en la implementación de autenticación el cual no borra convenientemente las credenciales al final de una sesión de red. Un atacante remoto podría obtener las credenciales de un usuario mediante la caché del mismo navegador. - CVE-2009-2509: La vulnerabilidad reside en un error en la validación de cabeceras en peticiones HTTP. Un atacante remoto podría ejecutar código arbitrario mediante una petición especialmente diseñada a un servidor web ISS. |
|
Solution |
|
|
Actualización de software Microsoft (MS09-070) Windows Server 2003 / patch Windowsserver2003-KB971726-x86-enu Windows Server 2003 x64 / patch Windowsserver2003.WindowsXP-KB971726-x64-enu Windows Server 2003 Itanium / patch Windowsserver2003-KB971726-ia64-enu Windows Server 2008 / patch Windows6.0-KB971726-x86 Windows Server 2008 x64 / patch Windows6.0-KB971726-x64 Windows Server 2008 Itanium / patch Windows6.0-KB971726-ia64 http://www.microsoft.com/downloads |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2009-2508 CVE-2009-2509 |
| BID | |
Other resources |
|
|
Microsoft Security Bulletin (MS09-070) http://www.microsoft.com/technet/security/Bulletin/MS09-070.mspx |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2009-12-15 |