WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Microsoft gấp rút phát hành bản vá mới do Patch Tuesday tháng 5 có lỗi xác thực
Nếu như bạn đã update Patch Tuesday hôm mùng 10 cho các máy chủ chạy Dịch vụ Directory Certificate Service và Window domain controller có chức năng xác thực bằng chứng chỉ thì bạn có thể cần cập nhật lại.
Microsoft cho hay bản vá ban đầu cho các lỗ hổng CVE-2022-26931 và CVE-2022-26923 được phát hành nhằm ngăn chặn hành vi giả mạo chứng chỉ bằng leo thang đặc quyền. Tuy nhiên, hậu quả không mong muốn của bản sửa lỗi là một loạt các lỗi xác thực. Vì vậy, hãng đã gấp rút phát hành một bản vá mới.
Sau khi cài đặt Patch Tuesday ban đầu, một số người dùng Reddit phàn nàn về lỗi xác thực chứng chỉ trong Patch Tuesday Megathread cho các mục thuộc reddit r/sysadmin vào ngày 10/5.
Người dùng Reddit RiceeeChrispies cho hay: "Các chính sách của NPS [Máy chủ chính sách mạng] (có xác thực bằng chứng chỉ) không khả dụng từ sau khi cập nhật bản vá, đồng thời hiển thị thông báo: Xác thực không thành công do thông tin đăng nhập người dùng không khớp. Tên người dùng được cung cấp không liên kết với tài khoản hiện có hoặc mật khẩu không chính xác".
Microsoft cho biết thêm sau khi áp dụng bản cập nhật mới, bạn sẽ không cần gia hạn chứng chỉ xác thực phía khách.
Trong một tuyên bố xác nhận lỗi xác thực, Microsoft cho biết: "Không cần gia hạn. CA sẽ trong Chế độ tương thích. Trừ khi, bạn cần một phương pháp biểu đồ sử dụng tiện ích mở rộng ObjectSID, bạn sẽ cần một chứng chỉ mới".
Microsoft cho hay bản vá ban đầu cho các lỗ hổng CVE-2022-26931 và CVE-2022-26923 được phát hành nhằm ngăn chặn hành vi giả mạo chứng chỉ bằng leo thang đặc quyền. Tuy nhiên, hậu quả không mong muốn của bản sửa lỗi là một loạt các lỗi xác thực. Vì vậy, hãng đã gấp rút phát hành một bản vá mới.
Sau khi cài đặt Patch Tuesday ban đầu, một số người dùng Reddit phàn nàn về lỗi xác thực chứng chỉ trong Patch Tuesday Megathread cho các mục thuộc reddit r/sysadmin vào ngày 10/5.
Người dùng Reddit RiceeeChrispies cho hay: "Các chính sách của NPS [Máy chủ chính sách mạng] (có xác thực bằng chứng chỉ) không khả dụng từ sau khi cập nhật bản vá, đồng thời hiển thị thông báo: Xác thực không thành công do thông tin đăng nhập người dùng không khớp. Tên người dùng được cung cấp không liên kết với tài khoản hiện có hoặc mật khẩu không chính xác".
Microsoft cho biết thêm sau khi áp dụng bản cập nhật mới, bạn sẽ không cần gia hạn chứng chỉ xác thực phía khách.
Trong một tuyên bố xác nhận lỗi xác thực, Microsoft cho biết: "Không cần gia hạn. CA sẽ trong Chế độ tương thích. Trừ khi, bạn cần một phương pháp biểu đồ sử dụng tiện ích mở rộng ObjectSID, bạn sẽ cần một chứng chỉ mới".
Theo Dark Reading