Microsoft 資訊安全公告 MS14-077 - 重要

Active Directory Federation Services 中的資訊安全風險可能允許資訊洩漏 (3003381)

發行日期:2014 年 11 月 11 日

版本: 1.0

提要

這個資訊安全更新可解決 Active Directory Federation Services (AD FS) 中一項未公開報告的資訊安全風險。如果使用者從應用程式登出後持續開啟瀏覽器,且攻擊者在使用者登出後立即在瀏覽器中重新開啟應用程式。則此資訊安全風險可能會允許資訊洩露。

對下列產品而言,此資訊安全更新的等級為「重要」:

  • 安裝在 32 位元和 x64 版本 Windows Server 2008 上的 AD FS 2.0
  • 安裝在 x64 版本 Windows Server 2008 R2 上的 AD FS 2.0
  • 安裝在 x64 版本 Windows Server 2012 上的 AD FS 2.1
  • 安裝在 x64 版本 Windows Server 2012 R2 上的 AD FS 3.0

如需更多資訊,請參閱<受影響的軟體>一節。

此資訊安全更新可確保登出程序正確登出使用者,從而解決此資訊安全風險。如需更多有關此資訊安全風險的資訊,請參閱特定資訊安全風險的<常見問題集 (FAQ)>小節。

如需本文件的更多資訊,請參閱 Microsoft 知識庫文件編號 3003381 (英文)。

受影響的軟體

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

**作業系統** **元件** **最大安全性影響** **彙總嚴重性等級** **已取代更新**
**Windows Server 2008**
適用於 32 位元系統的 Windows Server 2008 Service Pack 2 [Active Directory Federation Services 2.0](https://www.microsoft.com/zh-tw/download/details.aspx?id=44844) (3003381) 資訊洩漏 重要說明
適用於 x64 型系統的 Windows Server 2008 Service Pack 2 [Active Directory Federation Services 2.0](https://www.microsoft.com/zh-tw/download/details.aspx?id=44855) (3003381) 資訊洩漏 重要說明
**Windows Server 2008 R2**
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 [Active Directory Federation Services 2.0](https://www.microsoft.com/zh-tw/download/details.aspx?id=44787) (3003381) 資訊洩漏 重要說明
**Windows Server 2012 和 Windows Server 2012 R2**
Windows Server 2012 [Active Directory Federation Services 2.1](https://www.microsoft.com/zh-tw/download/details.aspx?id=44795) (3003381) 資訊洩漏 重要說明
Windows Server 2012 R2 [Active Directory Federation Services 3.0](https://www.microsoft.com/zh-tw/download/details.aspx?id=44786) (3003381) 資訊洩漏 重要說明
**Server Core 安裝選項**
Windows Server 2012 R2 (Server Core 安裝) [Active Directory Federation Services 3.0](https://www.microsoft.com/zh-tw/download/details.aspx?id=44786) (3003381) 資訊洩漏 重要說明

嚴重性等級和弱點識別碼

下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。在本安全性公告發行的 30 天內,如需弱點易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊,請參閱 11 月份公告摘要中的<弱點索引>。

**依受影響軟體列出的弱點嚴重性等級和最大安全性影響**
**受影響的軟體** [**Active Directory 同盟服務資訊洩漏資訊安全風險 - CVE-2014-6331**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-6331) **彙總嚴重性等級**
**Windows Server 2008**
安裝在適用於 32 位元系統的 Windows Server 2008 Service Pack 2 上的 Active Directory Federation Services 2.0 **重要** 資訊洩漏 **重要說明**
安裝在適用於 x64 型系統的 Windows Server 2008 Service Pack 2 上的 Active Directory Federation Services 2.0 **重要** 資訊洩漏 **重要說明**
**Windows Server 2008 R2**
安裝在適用於 x64 型系統之 Windows Server 2008 R2 Service Pack 1 上的 Active Directory Federation Services 2.0 **重要** 資訊洩漏 **重要說明**
**Windows Server 2012 和 Windows Server 2012 R2**
安裝於 Windows Server 2012 上的 Active Directory Federation Services 2.1 **重要** 資訊洩漏 **重要說明**
安裝於 Windows Server 2012 R2 上的 Active Directory Federation Services 3.0 **重要** 資訊洩漏 **重要說明**
**Server Core 安裝選項**
安裝於 Windows Server 2012 R2 (Server Core 安裝) 上的 Active Directory Federation Services 3.0 **重要** 資訊洩漏 **重要說明**

Active Directory 同盟服務資訊洩漏資訊安全風險 - CVE-2014-6331

Active Directory Federation Services (AD FS) (英文) 無法正確登出使用者時即存在資訊洩漏資訊安全風險。此資訊安全風險可能會無意間洩露資訊。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。本資訊安全公告發行時,Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。此更新可確保登出程序正確登出使用者,從而解決此資訊安全風險。

緩和因素

Microsoft 尚未找到此項資訊安全風險的任何緩和因素

因應措施

Microsoft 尚未找到此項資訊安全風險的任何因應措施

常見問題集

攻擊者可能會利用這項弱點採取什麼行動?
攻擊者可利用此資訊安全風險,探索 AD FS 使用者可以存取的資訊。

攻擊者如何利用這項弱點?
成功利用此資訊安全風險的攻擊者可以重新開啟使用者已登出的應用程式,從而存取該使用者的資訊。因為登出失敗,系統不會提示攻擊者輸入使用者名稱或密碼。

因為這個弱點而承受風險的主要系統有哪些?
已安裝 AD FS 角色的伺服器會受到此資訊安全風險影響。

資訊安全更新部署

如需資訊安全更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。

感謝

Microsoft 了解資訊安全業界所做的努力,其盡責地透露資訊安全風險來協助我們保護客戶。請參閱認可 (英文) 以取得詳細資訊。

免責聲明

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

日期

  • V1.0 2014 年 11 月 11 日:公告發行。

頁面產生時間:2014-11-06 12:20Z-08:00。