Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Microsoft Active Directory Federation Services |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de privilegios |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Microsoft |
Software afectado | Microsoft Active Directory Federation Services |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Microsoft Active Directory Federation Services. Las vulnerabilidades son descritas a continuación: - CVE-2009-2508: La vulnerabilidad reside en un error en la implementación de autenticación el cual no borra convenientemente las credenciales al final de una sesión de red. Un atacante remoto podría obtener las credenciales de un usuario mediante la caché del mismo navegador. - CVE-2009-2509: La vulnerabilidad reside en un error en la validación de cabeceras en peticiones HTTP. Un atacante remoto podría ejecutar código arbitrario mediante una petición especialmente diseñada a un servidor web ISS. |
|
Solución |
|
Actualización de software Microsoft (MS09-070) Windows Server 2003 / patch Windowsserver2003-KB971726-x86-enu Windows Server 2003 x64 / patch Windowsserver2003.WindowsXP-KB971726-x64-enu Windows Server 2003 Itanium / patch Windowsserver2003-KB971726-ia64-enu Windows Server 2008 / patch Windows6.0-KB971726-x86 Windows Server 2008 x64 / patch Windows6.0-KB971726-x64 Windows Server 2008 Itanium / patch Windows6.0-KB971726-ia64 http://www.microsoft.com/downloads |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2009-2508 CVE-2009-2509 |
BID | |
Recursos adicionales |
|
Microsoft Security Bulletin (MS09-070) http://www.microsoft.com/technet/security/Bulletin/MS09-070.mspx |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2009-12-15 |