Skip to main content
MSRC ppDocument Template
Bulletin de sécurité Microsoft MS15-040 - Important

Une vulnérabilité dans les services AD FS (Active Directory Federation Services) pourrait permettre la divulgation d'informations (3045711)

Date de publication : 14 avril 2015

Version : 1.0

Cette mise à jour de sécurité corrige une vulnérabilité dans les services AD FS (Active Directory Federation Services). Cette vulnérabilité pourrait permettre la divulgation d'informations si un utilisateur laissait son navigateur ouvert après la fermeture d'une application, et si l'attaquant ouvrait à nouveau l'application dans le navigateur immédiatement après la déconnexion de l'utilisateur.

Cette mise à jour de sécurité est de niveau « important » pour AD FS 3.0 lorsqu'il est installé sur les éditions x64 de Windows Server 2012 R2.

Pour plus d'informations, consultez la section Logiciels concernés.

La mise à jour de sécurité corrige la vulnérabilité en s'assurant que le processus de déconnexion déconnecte correctement l'utilisateur. Pour obtenir plus d'informations sur cette vulnérabilité, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité.

Pour plus d'informations sur ce document, voir l' article 3045711 de la Base de connaissances Microsoft.

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leurs cycles de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Système d'exploitation

Composant

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Windows Server 2012 R2

Windows Server 2012 R2

Active Directory Federation Services 3.0
(3045711)

Divulgation d'informations

Important

Aucun

Option d'installation Server Core

Windows Server 2012 R2 (installation Server Core)

Active Directory Federation Services 3.0
(3045711)

Divulgation d'informations

Important

Aucun

Remarque Windows Technical Preview et Windows Server Technical Preview sont affectés. Les clients exécutant ces systèmes d'exploitation sont invités à appliquer cette mise à jour qui est disponible via Windows Update

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité d'avril.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité de divulgation d'informations Active Directory Federation Services - CVE-2015-1638

Indice de gravité cumulée

Windows Server 2012 R2

Active Directory Federation Services 3.0 installé sur Windows Server 2012 R2

Important 
Divulgation d'informations

Important

Option d'installation Server Core

Active Directory Federation Services 3.0 installé sur Windows Server 2012 R2 (installation Server Core)

Important 
Divulgation d'informations

Important

Vulnérabilité de divulgation d'informations Active Directory Federation Services - CVE-2015-1638

Il existe une vulnérabilité de divulgation d'informations lorsque Active Directory Federation Services (AD FS) ne parvient pas à déconnecter correctement un utilisateur. Cette vulnérabilité pourrait permettre la divulgation involontaire d'informations. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait accéder aux informations d'un utilisateur en rouvrant une application de laquelle l'utilisateur s'est déconnecté. Étant donné l'échec de la déconnexion, un attaquant ne serait pas invité à entrer un nom d'utilisateur ou un mot de passe. Il pourrait alors utiliser cette vulnérabilité pour découvrir des informations auxquelles un utilisateur d'AD FS a accès.

Les serveurs sur lesquels le rôle AD FS est installé sont affectés par cette vulnérabilité. La mise à jour corrige la vulnérabilité en s'assurant que le processus de déconnexion déconnecte correctement l'utilisateur.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations. 

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

  • V1.0 (14 avril 2015) : Bulletin publié.

Page générée le 07/04/2015 11:44Z-07:00.