Microsoft ISA Server Radius OTP验证绕过漏洞

Bugraq ID: 35631 CVE ID：CVE-2009-1135 Microsoft ISA Server是一款企业防火墙和高性能的Web缓存解决方案。 配置了Radius OTP的ISA Server 2006验证机制存在问题，远程攻击者可以利用漏洞绕过验证访问受限WEB资源。 当使用HTTP-Basic方法验证请求时存在未明错误，可导致访问WEB发布的资源。 成功利用漏洞需要合法管理用户名和ISA服务器配置了Radius一次性密码(OTP)验证和KCD(Kerberos Constrained Delegation)的验证委托。 Microsoft ISA Server 2006 Supportability Update 0 Microsoft ISA Server 2006 SP1 Microsoft ISA Server 2006 用户可参考如下补丁程序： Microsoft ISA Server 2006 Microsoft Security Update for ISA Server 2006 (KB 970811) http://www.microsoft.com/downloads/details.aspx?familyid=c4e9b1dd-526d -407b-bc23-ebc2738b1b19