MS13-066 : Description de la mise à jour de sécurité pour Active Directory Federation Services 2.0 : 13.08.13

INTRODUCTION

Microsoft a publié le bulletin de sécurité MS13-066. Pour consulter la totalité du bulletin de sécurité, reportez-vous au site web de Microsoft à l'adresse suivante :

Procédure d'obtention d'aide et de support pour cette mise à jour de sécurité

Aide pour l'installation des mises à jour : Support pour Microsoft Update

Solutions de sécurité pour les professionnels de l'informatique : Résolution des problèmes de sécurité TechNet et support

Protection de votre ordinateur Windows contre les virus et les logiciels malveillants : Centre de sécurité et de solutions antivirus

Support local selon votre pays : Support international

Plus d'informations

Problèmes connus concernant cette mise à jour de sécurité

  • Vous pouvez rencontrer l'un des problèmes connus suivants après l'installation de cette mise à jour de sécurité.



    Problème 1

    Lorsqu'un jeton d'authentification (SSO) devient trop volumineux, l'utilisateur ne peut pas s'authentifier auprès du serveur.

    En règle générale, un jeton d'authentification devient volumineux lorsqu'un utilisateur est membre de plusieurs groupes.

    Problème 2

    Supposons que vous déployiez Active Directory Federation Services (ADFS) comme fournisseur d'identité pour un fournisseur de fédération. Ou, supposons que vous déployiez ADFS comme service d'émission de jeton de sécurité (STS) qui fonctionne comme fournisseur de fédération et fournisseur d'identité combiné pour une application prenant en charge les jetons. En cas d'échec de la relation d'approbation (par exemple, si les approbations de parties de confiance sont désactivées), un utilisateur continue de voir la page de connexion plutôt qu'un message d'erreur lorsqu'il essaie d'effectuer l'authentification.

    Problème 3

    Si vous désactivez l'option SSO sur un serveur ADFS, les demandes d'authentification auprès du serveur ADFS échouent.

    Problème 4

    Lorsqu'une demande d'authentification passive auprès du serveur ADFS nécessite une nouvelle authentification, l'authentification échoue, et le server requiert sans cesse des informations d'identification.

    Remarque Une application prenant en charge les revendications peut demander une nouvelle authentification en utilisant le paramètre wfresh=0 pour les mécanismes WS-Fed. L'application peut également utiliser le paramètre ForceAuthN=true pour les mécanismes SAMLP.

    Problème 5

    Pour les déploiements ADFS 2.0 personnalisés, les personnalisations ajoutées après l'appel de connexion dans le code de page FormsSignin.aspx.cs ne sont pas exécutées.

    Pour résoudre ces problèmes, installez le correctif logiciel 2896713. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    2896713 La mise à jour est disponible pour résoudre plusieurs problèmes après l'installation de la mise à jour de sécurité 2843638 sur un serveur ADFS
  • Microsoft connaît les problèmes liés aux mises à jour de sécurité qui affectent ADFS 2.0 et sont décrits dans MS13-066. Ces problèmes peuvent empêcher ADFS de continuer à fonctionner si le correctif cumulatif précédemment publié (correctif cumulatif 3 pour ADFS 2.0, également appelé mise à jour 2790338) n'a pas été installé.

    Le 19 août 2013, nous avons republié la mise à jour de sécurité 2843638 pour résoudre ce problème. Les clients qui ont installé les mises à jour initiales se verront à nouveau proposer la mise à jour de sécurité 2843638 et sont encouragés à l'appliquer au plus vite. Notez qu'une fois l'installation terminée, les clients ne voient que la mise à jour 2843638 dans la liste des mises à jour installées.

Étapes supplémentaires nécessaires à l'installation de cette mise à jour de sécurité

Après l'installation de cette mise à jour de sécurité, procédez comme suit pour terminer l'installation manuellement :
  1. Effectuez une copie de sauvegarde de la page FormsSignIn.aspx personnalisée dans le dossier suivant :

    %systemdrive%\inetpub\adfs\ls 
    Remarques
    • Assurez-vous de stocker la sauvegarde dans un lieu de stockage fiable.
    • Toutes les personnalisations apportées aux fichiers .asp doivent être sauvegardées en un lieu sûr. Nous vous conseillons d'effectuer ces sauvegardes en utilisant le contrôle de version.
  2. Dans le dossier de sauvegarde, modifiez la page FormsSignIn.aspx de manière à ajouter le texte « autocomplete=off » aux zones de texte Nom d'utilisateur et Mot de passe. Pour cela, procédez comme suit :
    1. Modifiez les éléments suivants :

      <asp:TextBox runat="server" ID="UsernameTextBox"> 




      En :

      <asp:TextBox runat="server" ID="UsernameTextBox" autocomplete="off"> 
    2. Modifiez les éléments suivants :

      <asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password"> 




      En :

      <asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password" autocomplete="off"> 
  3. Copiez la page FormsSignIn.aspx mise à jour dans le dossier suivant :


    %systemdrive%\inetpub\adfs\ls 

INFORMATIONS SUR LES FICHIERS

La version anglaise de cette mise à jour logicielle installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous. Les dates et heures de création de ces fichiers sont indiquées par rapport à l'heure universelle (GMT). Les date et heure de ces fichiers s'affichent sur votre ordinateur selon l'heure locale et en tenant compte de l'heure d'été. En outre, ces date et heure peuvent changer lorsque vous effectuez certaines opérations sur les fichiers.
Informations sur les fichiers Windows Server 2008
Informations sur les fichiers Windows Server 2008 R2
Informations sur les fichiers Windows Server 2012
Propriétés

ID d'article : 2843639 - Dernière mise à jour : 25 nov. 2013 - Révision : 1

Commentaires