你目前正处于脱机状态,正在等待 Internet 重新连接

MS13-066:Active Directory 联合身份验证服务 2.0 的安全更新说明:2013 年 8 月 13 日

简介
Microsoft 已发布安全公告 MS13-066。若要查看完整的安全公告,请访问以下 Microsoft 网站:

如何获取此安全更新的相关帮助和支持

帮助安装更新:Microsoft Update 支持

IT 专业人员安全解决方案:TechNet 安全疑难解答和支持

帮助保护您基于 Windows 的计算机不受病毒和恶意软件危害:病毒解决方案和安全中心

基于国家/地区的本地支持:国际支持

更多信息

有关此安全更新的已知问题

  • 安装此安全更新后,您可能会遇到下列已知问题。

    问题 1

    当登录 (SSO) 令牌变得太大时,用户就无法通过服务器进行身份验证。

    较大的 SSO 令牌一般是由用户加入多个组造成的。

    问题 2

    假设您将 Active Directory 联合身份验证服务 (AD FS) 部署为联合身份验证服务提供程序的标识提供者。或者,假设您将 AD FS 部署为安全令牌服务 (STS),用作令牌感知型应用程序的联合身份验证服务提供程序和标识提供者。如果信任关系没有建立(例如,如果信赖方信任已禁用),那么当用户尝试执行身份验证时,则会一直看到登录页,而不是错误消息。

    问题 3

    如果您禁用 AD FS 服务器上的 SSO 选项,则向 AD FS 服务器提出的身份验证请求失败。

    问题 4

    如果向 AD FS 服务器提出的被动身份验证请求需要刷新身份验证,则身份验证失败,且服务器会一直要求您提供凭据。

    注意 对于 WS-Fed 机制,声明感知型应用程序可能会使用 wfresh=0 参数来提出刷新身份验证请求。对于 SAMLP 机制,该应用程序可能会改用 ForceAuthN=true 参数。

    问题 5

    对于自定义 AD FS 2.0 部署,在 SignIn(位于 FormsSignin.aspx.cs 页面代码中)得到调用后添加的自定义部署不会执行。

    若要解决这些问题,请安装修补程序 2896713。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    2896713 可通过更新来解决您在 AD FS 服务器上安装安全更新 2843638 之后遇到的多个问题
  • Microsoft 注意到 MS13-066 中所述的安全更新存在会影响 AD FS 2.0 的问题。如果未安装之前发布的更新汇总(即,适用于 Active Directory 联合身份验证服务 2.0 的更新汇总,也称为更新 2790338),则此类问题可能会导致 AD FS 停止运行。

    2013 年 8 月 19 日,Microsoft 发布了可解决此问题的安全更新 2843638。我们将向已安装原始更新的客户重新提供安全更新 2843638,并建议客户尽早应用此更新。请注意,安装完成后,客户只会在已安装更新列表中看到 2843638 更新。

安装此安全更新所需的其他步骤

安装此安全更新后,请按照以下步骤手动完成安装:
  1. 在以下文件夹中,创建自定义的 FormsSignIn.aspx 页面的备份副本:
    %systemdrive%\inetpub\adfs\ls
    注意
    • 请确保将此备份存放在一个可靠的存储位置。
    • 对 .asp 文件的所有自定义设置应可靠备份。我们建议使用版本控制来完成此操作。
  2. 在备份文件夹中,编辑 FormsSignIn.aspx 页面,在“用户名”和“密码”文本框中添加“autocomplete=off”文本。为此,请按照下列步骤操作:
    1. 将以下内容:
      <asp:TextBox runat="server" ID="UsernameTextBox">
      更改为以下内容:
      <asp:TextBox runat="server" ID="UsernameTextBox" autocomplete="off">
    2. 将以下内容:
      <asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password">
      更改为以下内容:
      <asp:TextBox runat="server" ID="PasswordTextBox" TextMode="Password" autocomplete="off">
  3. 将更新的 FormsSignIn.aspx 页面复制到以下文件夹中:
    %systemdrive%\inetpub\adfs\ls
文件信息
此软件更新的英语(美国)版本将安装具有下表所列属性的文件。这些文件的日期和时间按协调世界时 (UTC) 列出。这些文件在您的本地计算机中的显示日期和时间是您的本地时间加上当前夏令时 (DST) 偏差。此外,如果对这些文件执行某些操作,则日期和时间也可能会发生变化。

Windows Server 2008 文件信息

  • 通过检查下表中显示的文件版本号,可以识别适用于特定产品、里程碑 (SPn) 和服务分支(LDR、GDR)的文件:
    版本产品里程碑服务分支
    6.0.6002.18xxxWindows Server 2008 SP2SP2GDR
    6.0.6002.23xxxWindows Server 2008 SP2SP2LDR
  • GDR 服务分支仅包含那些广泛发布以解决广泛分布的关键问题的修补程序。LDR 服务分支包含除广泛发布的修补程序以外的其他修补程序。
注意 已安装的 MANIFEST 文件 (.manifest) 和 MUM 文件 (.mum) 没有列出。

对于所有受支持的基于 x86 的 Windows Server 2008 版本

File nameFile versionFile sizeDateTimePlatform
Microsoft.identityserver.dll6.1.7600.17338778,24001-Jul-201322:59x86
Microsoft.identityserver.dll6.1.7601.22371786,43201-Jul-201323:02x86

对于所有受支持的基于 x64 的 Windows Server 2008 版本

File nameFile versionFile sizeDateTimePlatform
Microsoft.identityserver.dll6.2.9200.16651871,93628-Jun-201300:30x86
Microsoft.identityserver.dll6.2.9200.20760871,93628-Jun-201308:50x86

Windows Server 2008 R2 文件信息

  • 通过检查下表中显示的文件版本号,可以识别适用于特定产品、里程碑(RTM、SPn)和服务分支(LDR、GDR)的文件:
    版本产品里程碑服务分支
    6.1.760 1.18xxxWindows Server 2008 R2SP1GDR
    6.1.760 1.22xxxWindows Server 2008 R2SP1LDR
  • GDR 服务分支仅包含那些广泛发布以解决广泛分布的关键问题的修补程序。LDR 服务分支包含除广泛发布的修补程序以外的其他修补程序。
注意 已安装的 MANIFEST 文件 (.manifest) 和 MUM 文件 (.mum) 没有列出。

对于所有受支持的基于 x64 的 Windows Server 2008 R2 版本

File nameFile versionFile sizeDateTimePlatform
Microsoft.identityserver.dll6.1.7601.18195778,24028-Jun-201313:11x86
Microsoft.identityserver.dll6.1.7601.22370786,43228-Jun-201305:20x86

Windows Server 2012 文件信息

  • 通过检查下表中显示的文件版本号,可以识别应用于特定产品、里程碑(RTM、SPn)和服务分支(LDR、GDR)的文件:
    版本产品里程碑服务分支
    6.2.920 0.16xxxWindows Server 2012RTMGDR
    6.2.920 0.20xxxWindows Server 2012RTMLDR
  • GDR 服务分支仅包含那些广泛发布以解决广泛分布的关键问题的修补程序。LDR 服务分支包含除广泛发布的修补程序以外的其他修补程序。
注意 已安装的 MANIFEST 文件 (.manifest) 和 MUM 文件 (.mum) 没有列出。

对于所有受支持的基于 x64 的 Windows Server 2012 版本

File nameFile versionFile sizeDateTimePlatform
Microsoft.identityserver.dll6.2.9200.16651871,93628-Jun-201300:30x86
Microsoft.identityserver.dll6.2.9200.20760871,93628-Jun-201308:50x86
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
注意:本篇“快速发布”文章是从 Microsoft 支持组织直接创建的。 文中包含的信息按原样提供,用于响应紧急问题。 由于发布仓促,材料可能包含印刷错误,并且可能随时修订,恕不另行通知。 有关其他注意事项,请参阅使用条款
属性

文章 ID:2843639 - 上次审阅时间:11/22/2013 16:01:00 - 修订版本: 3.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB2843639
反馈
=">