ملخص
يوجد إلى رفع الامتياز الضعف عند مكتبة Azure Passport الدليل النشط (جواز السفر-Azure-الإعلان ل Node.js) بشكل غير صحيح بالتحقق من صحة معرف الرموز المميزة.
يمكن لمهاجم الذي نجح في استغلال مشكلة عدم الحصانة هذه قد تجاوز Azure Active Directory المصادقة لتطبيق ويب المضيفة مستهدفة. لاستغلال مشكلة عدم الحصانة هذه، يجب أن يقوم المهاجم بإرسال رمز معد بشكل خاص إلى تطبيق ويب الهدف الذي يحتوي على دعاوى هوية مستخدم صالح. يعالج هذا التحديث مشكلة عدم الحصانة عن طريق تصحيح كيف رموز معرف يتم التحقق من صحة عند الاستفادة من خدمة active Directory Azure استراتيجيات Passport.
الأسئلة المتداولة حول مشكلة عدم الحصانة هذه
Q1: استخدام Azure Active Directory. أتأثر؟
A1: مشكلة عدم الحصانة هذه يؤثر فقط على تطبيقات الويب التي تستخدم Passport-Azure-الإعلان لمكتبة Node.js للاستفادة من الإعلان أزور للمصادقة. قياسي لا تتأثر مصادقة Azure AD يستخدم Passport-Azure-الإعلان لمكتبة Node.js. توجد مشكلة عدم الحصانة في تطبيقات الويب التي تستخدم الإصدارات القديمة من جواز السفر-Azure-الإعلان لمكتبة Node.js.
Q2: ما هو جواز الإعلان أزور ل Node.js؟
A2: هي جواز الإعلان أزور ل Node.js مجموعة من الاستراتيجيات جوازات السفر التي تساعد دمج التطبيقات عقده مع Active Directory Azure. يتضمن الاتصال OpenID، WS-الاتحاد وف SAML المصادقة والتخويل. مقدمي هذه تسمح لك باستخدام العديد من ميزات Passport Azure الإعلان ل Node.js، بما في ذلك ويب تسجيل الدخول الأحادي (ويبسو)، "حماية نقطة النهاية" مع OAuth، وإصدار رمز JWT والتحقق من الصحة.
معلومات التحديث
المطورون الذين يستخدمون المكتبة Node.js الإعلان Azure Passport يجب تنزيل أحدث نسخة من جواز سفر-Azure-الإعلان لمكتبة Node.js وقم بتحديث التطبيقات الخاصة بهم. يتم نشر التفاصيل التقنية في المستودع GitHubالخاصة بنا.
المطورين الذين يستخدمون الإصدار 1. يجب تحديث x إلى الإصدار 1.4.6.
المطورون الذين يستخدمون الإصدار 2.0 يجب تحديث للإصدار 2.0.1.
الحالة
أقرت Microsoft أن هذه مشكلة في جواز السفر-Azure-الإعلان لمكتبة Node.js.
المراجع
رقم CVE: 2016 7191
التعرف على المصطلحات التي تستخدم لوصف تحديثات برامج Microsoft.
