| CNNVD-ID编号 | CNNVD-200907-255 | CVE编号 | CVE-2009-1135 |
| 发布时间 | 2009-07-15 | 更新时间 | 2009-09-04 |
| 漏洞类型 | 权限许可和访问控制 | 漏洞来源 | N/A |
| 危险等级 | 超危 | 威胁类型 | 远程 |
| 厂商 | microsoft | ||
ISA Server是微软产品家族之一,可以提供企业防火墙和高性能的Web缓存 。
如果对ISA Server 2006配置了使用RADIUS OTP的基于表单认证(FBA),则当该服务器从用户代理接收到请求要求回退到HTTP-Basic认证时,ISA就无法正确地认证该请求。如果配置了KCD,ISA会继续对已发布的服务器使用KCD进行认证。对于知道管理员账号用户名的攻击者,成功利用这个漏洞可以完全控制依赖ISA Server 2006 Web发布规则进行认证的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户 。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Microsoft ISA Server 2006 0
Microsoft Security Update for ISA Server 2006 (KB 970811)
http://www.microsoft.com/downloads/details.aspx?familyid=c4e9b1dd-526d -407b-bc23-ebc2738b1b19
来源: US-CERT
名称: TA09-195A
来源: MS
名称: MS09-031
链接:http://www.microsoft.com/technet/security/Bulletin/MS09-031.mspx
来源: VUPEN
名称: ADV-2009-1889
来源: SECTRACK
名称: 1022547
计算
安全
数据库
网络和加速
企业服务
