看来坏消息总会不止一个,在4月14日发布第一个 ISA Server 安全补丁之后,昨天又发布了第2个 ISA Server 2006 的安全补丁...
该漏洞只会影响 ISA Server 2006:
在 ISA 2006 中的漏洞可能引起用户提权 (970953)
该补丁用于解决在 ISA 2006 中一个尚未公开的漏洞。如果在 ISA Server 2006上使用基于表单验证的Web服务发布,并且使用RADIUS 一次性密码(OTP)作为身份验证方式,然后使用Kerberos约束委派方式来将用户提交的凭据委派到后台的Web服务器时,在特定情况下,恶意入侵者可以绕过表单验证,使用非法凭据(可以作为管理员账户身份)登录到后台的Web服务器。
具体原因可以参考微软安全公告MS 09-031:
http://go.microsoft.com/fwlink/?LinkId=154993
补丁下载地址:
(注意:请根据自己的 ISA Server 2006 版本,下载对应的补丁!)