Microsoft 安全公告 MS15-007 - 重要
在网络策略服务器 RADIUS 实施中的漏洞可能导致拒绝服务 (3014029)
发布日期: 2015 年 1 月 13 日
版本: 1.0
摘要
此安全更新可解决 Microsoft Windows 中一个私下报告的漏洞。 如果攻击者将经特殊设计的用户名字符串发送到 IAS 或 NPS,则该漏洞可能允许拒绝 Internet 验证服务 (IAS) 或网络策略服务器 (NPS) 上的服务。 请注意,虽然攻击者无法通过拒绝服务漏洞来执行代码或提升用户权限;但此漏洞可以阻止对 IAS 或 NPS 的 RADIUS 认证。
对于 Windows Server 2003、Windows Server 2008(不包括 Itanium)、Windows Server 2008 R2(不包括 Itanium)、Windows Server 2012 和 Windows Server 2012 R2 的所有受支持版本,此安全更新的等级为“重要”。 有关详细信息,请参阅“受影响的软件”部分。
此安全更新通过更改网络策略服务器在实施 RADIUS 时解析用户名查询的方法来解决该漏洞。