发布日期：2014-11-11
更新日期：2014-11-13

受影响系统：

Microsoft Active Directory Federation Services 3.0
Microsoft Active Directory Federation Services 2.1
Microsoft Active Directory Federation Services 2.0

描述：

---

BUGTRAQ  ID: 70938
CVE(CAN) ID: CVE-2014-6331

Active Directory 联合身份验证服务 (AD FS) 使用基于声明的访问 (CBA) 授权机制来维护应用程序安全，简化了对系统和应用程序的访问。AD FS 支持可帮助信息技术 (IT) 组织跨组织边界进行协作的 Web 单一登录 (SSO) 技术。

Microsoft Active Directory Federation Services (AD FS) 2.0, 2.1, 3.0版本中，如果配置的SAML依赖方没有注销端点，则AD FS会错误地进行注销操作，远程攻击者利用无人看守的工作站，利用此漏洞可获取访问权限，获取敏感信息。

<*来源：Microsoft
  
  链接：http://technet.microsoft.com/security/bulletin/MS14-077
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS14-077）以及相应补丁:
MS14-077：Vulnerability in Active Directory Federation Services could allow Information Disclosure
链接：http://technet.microsoft.com/security/bulletin/MS14-077

浏览次数：1757
严重程度：0（网友投票）