Резюме
Увеличаване на правата уязвимост съществува, когато Azure Active Directory Passport библиотека (паспорт-Azure-АД за Node.js) неправилно проверява ID маркери.
Нападател, който се възползва успешно тази уязвимост може да заобиколи Azure Active Directory удостоверяване целеви хост уеб приложение. Да се използва тази уязвимост, нападател ще трябва да изпрати специално изработени маркер за целта уеб приложение, което съдържа валиден потребител на искове за самоличност. Тази актуализация елиминира уязвимост чрез коригиране как се проверяват ID маркери, когато паспорт стратегии да се възползват от Azure Active Directory.
Често задавани въпроси за тази уязвимост
Q1: използвам Azure Active Directory. Повлиян ли съм?
A1: Уязвимостта засяга само уеб приложения, които използват паспорт Azure AD за Node.js библиотека да се възползвате от Azure AD за удостоверяване. Стандартни Azure AD удостоверяване, който използва Passport Azure AD за библиотеката Node.js остава незасегнато. Уязвимост в уеб приложения, които използват остарели версии на Passport Azure AD за Node.js библиотека.
Q2: Какво е паспорт-Azure-AD за Node.js?
A2: Паспорт-Azure-АД за Node.js е колекция от Passport стратегии, които ви помагат да интегрират възел приложения с Azure Active Directory. Тя включва OpenID свързване, WS-федерация и SAML P удостоверяване и удостоверяване. Тези доставчици ви позволяват да използвате много от функциите на паспорт-Azure AD за Node.js, включително уеб еднократна идентификация (WebSSO), Endpoint Protection с OAuth и JWT маркери издаване и проверка.
Информация за актуализацията
Разработчици, които използват Passport Azure AD Node.js библиотека трябва да изтеглите последната версия на Passport Azure AD за Node.js библиотека и след това да актуализират своите приложения. Техническите данни се публикуват в нашите GitHub хранилище.
Разработчици, които използват версия 1. x трябва да актуализирате до версия 1.4.6.
Разработчици, които използват версия 2.0, трябва да актуализирате до версия 2.0.1.
Статус
Microsoft потвърждава, че това е проблем в Passport Azure AD за Node.js библиотека.
Препратки
CVE номер: 2016 7191
Научете повече за терминологията , използвана за описание на софтуерните актуализации от Microsoft.