INLEIDING
Microsoft heeft het beveiligingsbulletin MS13-066 gepubliceerd. U kunt het volledige bulletin bekijken door naar de volgende Microsoft-website te gaan:
-
IT-professionals:
http://technet.microsoft.com/en-us/security/bulletin/ms13-066
Hulp en ondersteuning voor deze beveiligingsupdate
Hulp bij installatie van updates: Ondersteuning voor Microsoft Windows Update
Beveiligingsoplossingen voor IT-professionals: TechNet Security Troubleshooting and Support
Bescherm uw Windows-computer tegen virussen en malware: Support voor Microsoft-virusbescherming en Windows-beveiliging
Lokale ondersteuning voor uw land: Internationale ondersteuning
Meer informatie
Bekende problemen met deze beveiligingsupdate
-
De volgende problemen kunnen optreden na de installatie van deze beveiligingsupdate.
Probleem 1
Als een SSO-token (Single Sign-On) te groot wordt, kan de gebruiker zich niet aanmelden bij de server.
Meestal wordt een groot SSO-token veroorzaakt als een gebruiker lid is van veel groepen.
Probleem 2
Stel dat u Active Directory Federation Services (AD FS) gebruikt om uw identiteit te bewijzen voor een federatieleverancier. Of stel dat u AD FS gebruikt als een STS (security token service) die werkt als een combinatie van een identiteitsleverancier en een federatieleverancier voor een toepassing die gebruikmaakt van een token. Als er een fout optreedt in de vertrouwensrelatie (bijvoorbeeld als het betrouwbaarheid van de afhankelijke partij wordt uitgeschakeld), krijgt de gebruiker bij het aanmelden nog steeds een aanmeldscherm te zien in plaats van een foutbericht.
Probleem 3
Als u de SSO-optie op een AD FS-server hebt uitgeschakeld, zullen verificatieverzoeken aan de AD FS-server mislukken.
Probleem 4
Als een passief verificatieverzoek aan de AD FS-server nieuwe verificatie nodig heeft zal de verificatie mislukken en blijft de server vragen om aanmeldgegevens.
Opmerking Een claim-bewuste toepassing kan vragen om een nieuwe verificatie via de parameter wfresh=0 voor de WS-Fed-mechanismes. De toepassing kan in plaats daarvan de parameter ForceAuthN=true gebruiken voor de SAMLP-mechanismes.
Probleem 5
Voor aangepaste AD FS 2.0-implementaties worden de aanpassingen die na de aanroep SignIn op de pagina FormsSignin.aspx.cs zijn toegevoegd niet uitgevoerd.
U kunt deze problemen oplossen door hotfix 2896713 te installeren. Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:2896713 Update is beschikbaar om verschillende problemen op te lossen na de installatie van beveiligingsupdate 2843638 op een AD FS-server
-
Microsoft is op de hoogte van problemen met de beveiligingsupdates die invloed hebben op AD FS 2.0 die zijn beschreven in MS13-066. Deze problemen kunnen ervoor zorgen dat AD FS stopt met functioneren als de eerder uitgebrachte updates (Update Rollup 3 voor Active Directory Federation Services 2.0, ook bekend als update 2790338) niet werd geïnstalleerd.
Op 19.08.13 heeft Microsoft beveiligingsupdate 2843638 uitgebracht om dit probleem op te lossen. Klanten die de oorspronkelijke updates hebben geïnstalleerd, krijgen beveiligingsupdate 2843638 opnieuw aangeboden. Het wordt aanbevolen deze zo spoedig mogelijk toe te passen. Let erop dat na afloop van de installatie alleen update 2843638 wordt weergegeven in de lijst met geïnstalleerde updates.
Aanvullende stappen die verplicht zijn voor het installeren van deze beveiligingsupdate
Nadat u deze beveiligingsupdate hebt geïnstalleerd, voert u deze stappen uit om de installatie handmatig te voltooien:
-
Maak in de volgende map een back-up van de aangepaste pagina FormsSignIn.aspx:
%systemdrive%\inetpub\adfs\ls Opmerkingen-
Zorg ervoor dat u de back-up op een veilige plaats bewaart.
-
Van alle aanpassingen van .asp-bestanden moet een back-up veilig worden opgeslagen. Wij adviseren hiervoor versiebeheer te gebruiken.
-
-
Bewerk de pagina FormsSignIn.aspx in de back-upmap om de tekst "autocomplete=off" toe te voegen voor de tekstvakken Gebruikersnaam en Wachtwoord. Dit doet u als volgt:
-
Wijzig deze regel:
<asp:TextBox runat="server" ID="UsernameTextBox">
in:
<asp:TextBox runat="server" ID="UsernameTextBox" autocomplete="off"> -
Wijzig deze regel:
<asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password">
in:
<asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password" autocomplete="off">
-
-
Kopieer de bijgewerkte pagina FormsSignIn.aspx naar de volgende map:
%systemdrive%\inetpub\adfs\ls
BESTANDSINFORMATIE
Met de Engelse (Verenigde Staten) versie van deze software-update worden bestanden geïnstalleerd met de attributen uit de onderstaande tabellen. De datums en tijden van deze bestanden worden in UTC (Coordinated Universal Time) weergegeven. De datums en tijden van deze bestanden op uw lokale computer worden in de lokale tijd weergegeven en met de actuele afwijking ten opzichte van de zomertijd. De datums en tijden kunnen wijzigen wanneer u bepaalde bewerkingen op de bestanden uitvoert.
-
De bestanden die van toepassing zijn op een bepaald product, een bepaalde mijlpaal (SPn) en een bepaalde servicegroep (LDR, GDR) kunt u afleiden van de bestandsversienummers in de onderstaande tabel:
Versie
Product
Mijlpaal
Servicegroep
6.0.6002.18xxx
Windows Server 2008 SP2
SP2
GDR
6.0.6002.23xxx
Windows Server 2008 SP2
SP2
LDR
-
GDR-servicegroepen bevatten alleen fixes die breed worden uitgerold om veelvoorkomende, essentiële problemen op te lossen. LDR-servicegroepen bevatten hotfixes en breed uitgerolde fixes.
Opmerking De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die worden geïnstalleerd met de update worden niet vermeld.
Voor alle ondersteunde x86-versies van Windows Server 2008
File name |
File version |
File size |
Date |
Time |
Platform |
---|---|---|---|---|---|
Microsoft.identityserver.dll |
6.1.7600.17338 |
778,240 |
01-Jul-2013 |
22:59 |
x86 |
Microsoft.identityserver.dll |
6.1.7601.22371 |
786,432 |
01-Jul-2013 |
23:02 |
x86 |
Voor alle ondersteunde x64-versies van Windows Server 2008
File name |
File version |
File size |
Date |
Time |
Platform |
---|---|---|---|---|---|
Microsoft.identityserver.dll |
6.2.9200.16651 |
871,936 |
28-Jun-2013 |
00:30 |
x86 |
Microsoft.identityserver.dll |
6.2.9200.20760 |
871,936 |
28-Jun-2013 |
08:50 |
x86 |
-
De bestanden die van toepassing zijn op een bepaald product, een bepaalde mijlpaal (RTM, SPn) en een bepaalde servicegroep (LDR, GDR) kunt u afleiden van de bestandsversienummers in de onderstaande tabel:
Versie
Product
Mijlpaal
Servicegroep
6.1.760 1.18xxx
Windows Server 2008 R2
SP1
GDR
6.1.760 1.22xxx
Windows Server 2008 R2
SP1
LDR
-
GDR-servicegroepen bevatten alleen fixes die breed worden uitgerold om veelvoorkomende, essentiële problemen op te lossen. LDR-servicegroepen bevatten hotfixes en breed uitgerolde fixes.
Opmerking De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die worden geïnstalleerd met de update worden niet vermeld.
Voor alle ondersteunde x64-versies van Windows Server 2008 R2
File name |
File version |
File size |
Date |
Time |
Platform |
---|---|---|---|---|---|
Microsoft.identityserver.dll |
6.1.7601.18195 |
778,240 |
28-Jun-2013 |
13:11 |
x86 |
Microsoft.identityserver.dll |
6.1.7601.22370 |
786,432 |
28-Jun-2013 |
05:20 |
x86 |
-
De bestanden die van toepassing zijn op een bepaald product, een bepaalde mijlpaal (RTM, SPn) en een bepaalde servicegroep (LDR, GDR) kunt u afleiden van de bestandsversienummers in de onderstaande tabel:
Versie
Product
Mijlpaal
Servicegroep
6.2.920 0.16xxx
Windows Server 2012
RTM
GDR
6.2.920 0.20xxx
Windows Server 2012
RTM
LDR
-
GDR-servicegroepen bevatten alleen fixes die breed worden uitgerold om veelvoorkomende, essentiële problemen op te lossen. LDR-servicegroepen bevatten hotfixes en breed uitgerolde fixes.
Opmerking De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die worden geïnstalleerd met de update worden niet vermeld.
Voor alle ondersteunde x64-versies van Windows Server 2012
File name |
File version |
File size |
Date |
Time |
Platform |
---|---|---|---|---|---|
Microsoft.identityserver.dll |
6.2.9200.16651 |
871,936 |
28-Jun-2013 |
00:30 |
x86 |
Microsoft.identityserver.dll |
6.2.9200.20760 |
871,936 |
28-Jun-2013 |
08:50 |
x86 |