Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2017-0043

Опубликовано: 14 мар. 2017
Источник: msrc
CVSS3: 4.8
EPSS Низкий

Уязвимость утечки информации в Microsoft Active Directory Federation Services (ADFS), возникающая из-за некорректной обработки XML внешних сущностей

Описание уязвимости

Аутентифицированный злоумышленник, успешно использовавший эту уязвимость, способен прочитать конфиденциальную информацию о целевой системе.

Условия эксплуатации

Для эксплуатации данной уязвимости аутентифицированный злоумышленник должен отправить специально подготовленный запрос к службе ADFS. Важно отметить, что Уязвимость утечки информации сама по себе недостаточна для компрометации системы. Однако злоумышленник способен сочетать эту уязвимость с другими уязвимостями для дальнейшей эксплуатации системы.

Решение

Обновление безопасности устраняет уязвимость, заставляя ADFS игнорировать эти вредоносные сущности.

Обновления

ПродуктСтатьяОбновление
Windows Server 2008 for Itanium-Based Systems Service Pack 2
3217882
Security Update
Windows Server 2008 for 32-bit Systems Service Pack 2
3217882
Security Update
Windows Server 2008 for x64-based Systems Service Pack 2
3217882
Security Update
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
40122154012212
Monthly RollupSecurity Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1
40122154012212
Monthly RollupSecurity Only
Windows Server 2012
40122174012214
Monthly RollupSecurity Only
Windows Server 2012 (Server Core installation)
40122174012214
Monthly RollupSecurity Only
Windows Server 2012 R2
40122164012213
Monthly RollupSecurity Only
Windows Server 2012 R2 (Server Core installation)
40122164012213
Monthly RollupSecurity Only
Windows Server 2016
4013429
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation Unlikely

Older Software Release

Exploitation Unlikely

DOS

N/A

EPSS

Процентиль: 90%
0.05993
Низкий

4.8 Medium

CVSS3

Связанные уязвимости

nvd логотип

CVE-2017-0043

CVSS3: 5.3
nvd
больше 8 лет назад

Active Directory Federation Services in Microsoft Windows 10 1607, Windows Server 2008 SP2 and R2 SP1, Windows Server 2012 Gold and R2, and Windows Server 2016 allows local users to obtain sensitive information via a crafted application, aka "Microsoft Active Directory Federation Services Information Disclosure Vulnerability."

github логотип

GHSA-9frw-chc7-2jhv

CVSS3: 5.3
github
около 3 лет назад

Active Directory Federation Services in Microsoft Windows 10 1607, Windows Server 2008 SP2 and R2 SP1, Windows Server 2012 Gold and R2, and Windows Server 2016 allows local users to obtain sensitive information via a crafted application, aka "Microsoft Active Directory Federation Services Information Disclosure Vulnerability."

fstec логотип

BDU:2017-00782

fstec
больше 8 лет назад

Уязвимость операционной системы Windows, позволяющая нарушителю получить конфиденциальную информацию

EPSS

Процентиль: 90%
0.05993
Низкий

4.8 Medium

CVSS3