Sårbarhet i ISA 2006 FBA med delegerad autentisering

Igår släpptes säkerhetsbulletinen MS09-31 för ISA 2006. Det är en sårbarhet som kan orsaka oautentiserad inloggning mot en publicerad web över Formulär och delegerad autentisering via RADIUS. Sårbarheten bygger även på att autentiseringen har HTTP-autentiserad fallback, vilket är default men går att stänga av.
 
 
Det gäller alltså inte om din ISA är domänmedlem och sköter reverse proxy autentiseringen via ditt Active Directory.
Som tur är drabbar det ingen av mina implementationer då jag rekommenderat domänmedlemskap av ISA Servern. En självklarhet för full funktionalitet, enkel administration och säkerhetsmässigt har ingen lyckas övertyga mig fördelen med delegering. En korrekt uppsatt ISA är säker!
 
Advertisements
Det här inlägget postades i ISA Server. Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s