Microsoft ISA Server Radius OTP Atlatma Açıklığı (MS09-031)

Kaynak:	SANS@RISK

Seviye:	Orta
Bildiri Sürümü:	-
Açıklanma Zamanı:	17.07.2009
Yenilenme Zamanı:	-
Etkilenen Sistemler:	Microsoft ISA Server 2006 Supportability Update 0 Microsoft ISA Server 2006 SP1 Microsoft ISA Server 2006 0

CVE:	CVE-2009-1135
BID:	35631
Referanslar:	Microsoft Security Bulletin http://www.microsoft.com/technet/security/bulletin/MS09-031.mspx Forefront TMG (ISA Server) Product Team Blog: http://blogs.technet.com/isablog/archive/2009/07/13/ms09-031-isa-server-2006-fba-and-radius-otp-bulletin.aspx SecurityFocus BID : http://www.securityfocus.com/bid/35631
Yazar(lar):	-

Açıklama:	Microsoft Internet Security and Acceleration (ISA) Server 2006'da güvenlik atlatma açıklığı bulunmaktadır. Bu açıklığın kullanılabilmesi için sunucu yapılandırmasında web dinleyicisi RADIUS ile bir kerelik şifre (OTP) ile form tabanlı kimlik doğrulama (FBA) yapacak şekilde yapılandırılmış, web yayınlama kuralı Kerberos ile yetkilendirilmiş (KCD) ve sunucu HTTP Basic authentication fallback özelliği etkinleştirilmiş olmalıdır. ISA sunucuları bu senaryoda gelen kimlik doğrulama isteklerini olması gerektiği şekilde karşılayamamakta ve kimlik doğrulama HTTP Basic Authentication'a düşmektedir. Açıklığın başarılı şekilde kullanımı saldırganın hak yükseltme ile web kaynağına erişebilmesini sağlar.
Etki:	Hak yükseltme
Çözüm:	Açıklık üretici firma tarafından doğrulanmış, güncellemeler yayınlanmıştır

[ Geri ]

Görüşleriniz