Microsoft 安全公告 MS17-019 - 重要

用于修复信息漏洞的 Active Directory(4010320)

发布日期：2017 年 3 月 14 日

**版本：**1.0

执行摘要

此安全更新程序修复了 Active Directory 联合身份验证服务 (ADFS) 中的一个漏洞。如果攻击者向 ADFS 服务器发送经特殊设计的请求，从而允许攻击者读取有关目标系统的敏感信息，则该漏洞可能允许信息泄漏。

此更新通过在 ADFS 中添加其他验证检查来修复该漏洞。有关此漏洞的更多信息，请参阅漏洞信息部分。

有关此更新的更多信息，请参阅 Microsoft 知识库文章 4010320。

受影响的软件和漏洞严重等级

以下软件版本都受到影响。未列出的版本表明其支持生命周期已结束或不受影响。若要确定软件版本的支持生命周期，请参阅 Microsoft 支持生命周期。

对每个受影响软件标记的严重等级假设漏洞可能造成的最大影响。若要了解在此安全公告发布 30 天内漏洞被利用的可能性（相对于严重等级和安全影响），请参阅 3 月份公告摘要中的利用指数。

操作系统	[Microsoft Active Directory 联合身份验证服务信息泄漏漏洞 - CVE-2017-0043](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-0043)	替代的更新
Windows Server 2008
[Windows Server 2008（用于 32 位系统）Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3217882) (3217882)	重要信息泄漏	无
[Windows Server 2008（用于基于 x64 的系统）Service Pack 2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3217882) (3217882)	重要信息泄漏	无
Windows Server 2008 R2
[Windows Server 2008 R2（用于基于 x64 的系统）Service Pack 1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012212) (4012212) 纯安全补丁^[1]	重要信息泄漏	无
[Windows Server 2008 R2（用于基于 x64 的系统）Service Pack 1](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012215) (4012215) 每月汇总补丁^[1]	重要信息泄漏	[3212646](https://support.microsoft.com/zh-cn/kb/3212646)
Windows Server 2012 和 Windows Server 2012 R2
[Windows Server 2012](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012214) (4012214) 纯安全补丁^[1]	重要信息泄漏	无
[Windows Server 2012](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012217) (4012217) 每月汇总补丁^[1]	重要信息泄漏	[3250409](https://support.microsoft.com/de-de/kb/3250409)
[Windows Server 2012 R2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213) (4012213) 纯安全补丁^[1]	重要信息泄漏	无
[Windows Server 2012 R2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216) (4012216) 每月汇总补丁^[1]	重要信息泄漏	[3205401](https://support.microsoft.com/de-de/kb/3205401)
Windows Server 2016
[Windows Server 2016（用于基于 x64 的系统）](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013429)^[3] (4013429)	重要信息泄漏	[3213986](https://support.microsoft.com/de-de/kb/3213986)
服务器核心安装选项
[Windows Server 2012](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012214)（服务器核心安装） (4012214) 纯安全补丁^[1]	重要信息泄漏	无
[Windows Server 2012](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012217)（服务器核心安装） (4012217) 每月汇总补丁^[1]	重要信息泄漏	[3250409](https://support.microsoft.com/de-de/kb/3250409)
[Windows Server 2012 R2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012213)（服务器核心安装） (4012213) 纯安全补丁^[1]	重要信息泄漏	无
[Windows Server 2012 R2](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4012216)（服务器核心安装） (4012216) 每月汇总补丁^[1]	重要信息泄漏	[3205401](https://support.microsoft.com/de-de/kb/3205401)
[Windows Server 2016（用于基于 x64 的系统）](https://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4013429)（服务器核心安装）^[2] (4013429)	重要信息泄漏	[3213986](https://support.microsoft.com/de-de/kb/3213986)

^[1]从 2016 年 10 月版开始，Microsoft 已更改 Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012 和 Windows Server 2012 R2 的更新服务模式。有关详细信息，请参阅此 Microsoft TechNet 文章。

^[2]此更新程序仅通过 Windows 更新提供。

^[3] Windows 10 和 Windows Server 2016 更新为累积更新。除了非安全更新外，每月安全发布还包括用于影响 Windows 10 的漏洞的所有安全修补程序。可以通过 Microsoft 更新目录获取更新。请注意，从 2016 年 12 月 13 日起，Windows 10 和 Windows Server 2016 累积更新详情将在发行说明中归档。请参阅发行说明，了解操作系统内部版本号、已知问题和受影响文件列表信息。

*“替代的更新程序”列仅显示一系列被取代的更新程序中最新的更新程序。有关替代的更新的完整列表，请转到 Microsoft 更新目录，搜索更新知识库文章编号，然后查看更新详细信息（替代的更新信息位于“程序包详细信息”选项卡中）。

漏洞信息

Microsoft Active Directory 联合身份验证服务信息泄漏漏洞 - CVE2017-0043

当 Windows Active Directory 联合身份验证服务 (ADFS) 信任 XML 外部实体时，存在信息泄漏漏洞。成功利用此漏洞且经过身份验证的攻击者可以读取关于目标系统的敏感信息。

若要利用此条件，攻击者需要将经特殊设计的请求发送到 ADFS 服务。注意，信息泄漏漏洞本身不足以使攻击者侵入系统。但是，攻击者可以将此漏洞与其他漏洞相结合以进一步利用系统。此更新通过使 ADFS 忽略这些恶意实体来修复漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接：

漏洞标题	CVE 编号	已公开披露	已被利用
Microsoft Active Directory 联合身份验证服务信息泄漏漏洞	CVE-2017-0043	否	否

### 缓解因素 Microsoft 并未发现此漏洞的任何[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 ### 变通办法 Microsoft 并未发现此漏洞的任何[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。安全更新部署 ------------ 如需了解安全更新部署信息，请参阅“执行摘要”中[此处](#kbarticle)引用的 Microsoft 知识库文章。鸣谢 ---- Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息，请参阅[鸣谢](https://technet.microsoft.com/zh-cn/library/security/mt745121.aspx)。免责声明 -------- Microsoft 知识库中的信息“按原样”提供，没有任何形式的担保。Microsoft 不作任何明示或暗示保证，包括对适销性和针对特定用途的适用性的保证。Microsoft Corporation 或其供应商不对任何损害（包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害）承担任何责任，即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任，因此上述限制可能不适用。修订版本 -------- - V1.0（2017 年 3 月 14 日）：公告已发布。 *页面生成时间：2017-03-07 11:08-08:00。*