Microsoft Active Directory Federation Services信息泄露漏洞(CVE-2013-3185)(MS13-066)

受影响系统:
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2012
Microsoft Windows Server 2008
Microsoft Storage Server 2003
描述:
BUGTRAQ ID: 61672
CVE(CAN) ID: CVE-2013-3185

活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。

Microsoft Active Directory Federation Services 活动目录联合服务(ADFS)内存在信息泄露漏洞,此漏洞可允许泄露ADFS使用的服务账户信息。攻击者然后可以从企业网络外部尝试登陆,若配置了账户锁定策略,则会造成ADFS使用的服务账户锁定。导致依赖ADFS实例的所有应用拒绝服务。

<*来源:Basil Gabriel 链接:http://secunia.com/advisories/54459/ http://technet.microsoft.com/security/bulletin/MS13-066 *>

建议:
厂商补丁:

Microsoft
———
Microsoft已经为此发布了一个安全公告(MS13-066)以及相应补丁:
MS13-066:Vulnerability in Active Directory Federation Services Could Allow Information Disclosure (2873872)
链接:http://technet.microsoft.com/security/bulletin/MS13-066