在坚持五年之后,ISA Server 还是在昨天出了第一个安全补丁,:(
目前在 ISA Server 2004 之后的版本中,发现了两个安全漏洞,覆盖的版本包括 ISA Server 2004、ISA Server 2006 和 TMG MBE 到目前为止的所有版本。
具体为:
-
针对 Web 代理服务场景下(正向代理和反向 Web服务发布),防火墙引擎处理 TCP 连接状态时存在问题,可能导致TCP 连接不能正常关闭,最终导致拒绝式服务攻击,ISA Server 的 Web 代理服务将停止响应。
-
受影响系统:ISA Server 2004 SP3、ISA Server 2006 全系列版本、TMG MBE
-
由于HTML表单身份验证组件 cookieauth.dll 存在问题,在 Web 发布时,如果使用基于 HTML 表单的用户身份验证,则可能会导致攻击者发起跨站脚本攻击,从而返回非法的 URL 地址链接给其他访问此 Web 发布服务的用户。
-
受影响系统: ISA Server 2006 全系列版本、TMG MBE
具体原因可以参考微软安全公告MS 09-016:
http://www.microsoft.com/technet/security/bulletin/ms09-016.mspx
补丁下载地址:
(注意:请根据自己的 ISA Server 2006 版本,下载对应的补丁!)
请大家尽快安装补丁!
注意:
由于 ISA 标准版最多只支持4个CPU,因此如果在超过 4 个CPU的 ISA 标准版服务器上安装此补丁,将会出现 ISA 防火墙服务无法启动的现象。解决方法为在 boot.ini 中加上 /numprocs=4 参数,限制系统只使用 4 个 CPU,具体可以参考
