Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
 accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

avis de vulnérabilité CVE-2009-2508 CVE-2009-2509

Windows : deux vulnérabilités d'ADFS

Synthèse de la vulnérabilité

Un attaquant authentifié peut employer deux vulnérabilités d'ADFS, afin d'usurper l'identité d'un utilisateur, ou d'exécuter du code.
Gravité : 3/4.
Date création : 09/12/2009.

Description de la vulnérabilité

La fonctionnalité ADFS (Active Directory Federation Services) gère l'authentification SSO (Single Sign-On) des utilisateurs qui accèdent à plusieurs services web. ADFS s'active sur le serveur web IIS, et est accessible via un client web qui implémente WS-* (SOAP, WSDL et UUDI). ADFS est impacté par deux vulnérabilités.

Un attaquant, qui accède au cache du navigateur web de la victime, peut lire puis ré-utiliser les données ADFS durant 10 heures, même si la victime s'est déconnectée du site web. L'attaquant peut ainsi accéder à un service web, avec l'identité de la victime. [grav:2/4; BID-37215, CVE-2009-2508, >]

Un attaquant distant authentifié peut employer une requête HTTP-ADFS avec un entête illicite, afin de faire exécuter du code sur IIS. [grav:3/4; BID-37214, CVE-2009-2509, >]

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : Windows : deux vulnérabilités d'ADFS.
Mots clés : ADFS Active DFS Directory Federation HTTP-ADFS IIS SOAP SSO Services Sign-On Single UUDI WS- WSDL Windows deux vulnérabilités.
Références : 971726, BID-37214, BID-37215, CVE-2009-2508, CVE-2009-2509, MS09-070, VIGILANCE-VUL-9244.

Sources d'information

Publications et annonces
Exemple de source : MS09-070 - Vulnerabilities in Active Directory Federation Services Could Allow Remote Code Execution (971726)

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Compléments

Vulnérabilité : Single Sign On Spoofing in ADFS Vulnerability - CVE-2009-2508

Un attaquant, qui accède au cache du navigateur web de la victime, peut lire puis ré-utiliser les données ADFS durant 10 heures, même si la victime s'est déconnectée du site web. L'attaquant peut ainsi accéder à un service web, avec l'identité de la victime.
Gravité : 2/4.
Références : BID-37215, CVE-2009-2508.

Vulnérabilité : Remote Code Execution in ADFS Vulnerability - CVE-2009-2509

Un attaquant distant authentifié peut employer une requête HTTP-ADFS avec un entête illicite, afin de faire exécuter du code sur IIS.
Gravité : 3/4.
Références : BID-37214, CVE-2009-2509.

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Bulletins de failles informatiques



















France Télécom Copyright 1999-2010 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version