Aktualizace zabezpečení pro služby Passport-Azure-AD Node.js knihovny

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 3187742
Souhrn
Zvýšení úrovně oprávnění existuje, když knihovna Azure Active Directory služby Passport (pas-Azure-AD pro Node.js) nesprávně ověřuje tokeny ID.

Útočník, který úspěšně zneužije tuto chybu zabezpečení by mohl obejít ověřování služby Active Directory Azure webové aplikace cílové hostitele. Tuto chybu zabezpečení zneužít, musel by odeslat speciálně vytvořený token na cílovou webovou aplikaci, která obsahuje deklarace identity uživatele platný. Tato aktualizace řeší uvedenou chybu zabezpečení opravou jak tokeny ID jsou ověřeny při Passport strategie využít výhod služby Active Directory Azure.

Často kladené dotazy týkající se této chyby zabezpečení

Q1: Pomocí služby Active Directory Azure. Ohrožen?

A1: Tato chyba zabezpečení se týká pouze webových aplikací, které využívají k ověřování Azure AD pomocí pas-Azure-AD Node.js knihovny. Standardní ověřování Azure AD, která nepoužívá AD Azure služby Passport pro Node.js knihovny není ovlivněna. Tato chyba zabezpečení existuje ve webových aplikacích, které používají zastaralé verze AD Azure služby Passport pro Node.js knihovny.

Q2: Co je Passport AD Azure pro Node.js?

A2: Služba Passport AD Azure pro Node.js je kolekce Passport strategií, které pomáhají integrovat uzel aplikace Azure Active Directory. Obsahuje připojení OpenID, WS-Federation, SAML P ověření a autorizace. Tito poskytovatelé umožňují použít mnoho funkcí služby Passport-Azure AD pro Node.js, včetně webové jednotné přihlašování (WebSSO), Endpoint Protection s OAuth a vystavování tokenů JWT a ověřování.

Informace o aktualizaci

Vývojáři, kteří používají službu Passport Azure AD Node.js knihovny, musíte stáhnout nejnovější verzi služby Passport-Azure-AD Node.js knihovny a potom aktualizovat své aplikace. Podrobné technické informace jsou publikovány v našem Úložiště GitHub.

Vývojáři, kteří používají verze 1.x musíte aktualizovat na verzi 1.4.6.

Vývojáři, kteří používají verzi 2.0, musíte aktualizovat na verzi 2.0.1.

Prohlášení
Společnost Microsoft potvrzuje, že se jedná o problém v pasu-Azure-AD Node.js knihovny.
Odkazy
Číslo CVE: 2016 7191

Seznamte se terminologie používaná společností Microsoft k popisu aktualizací softwaru.

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 3187742 - Poslední kontrola: 10/01/2016 00:17:00 - Revize: 4.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3187742 KbMtcs
Váš názor