Applies ToAzure Active Directory

Souhrn

Zvýšení úrovně oprávnění existuje, když knihovna Azure Active Directory služby Passport (pas-Azure-AD pro Node.js) nesprávně ověřuje tokeny ID.Útočník, který úspěšně zneužije tuto chybu zabezpečení by mohl obejít ověřování služby Active Directory Azure webové aplikace cílové hostitele. Tuto chybu zabezpečení zneužít, musel by odeslat speciálně vytvořený token na cílovou webovou aplikaci, která obsahuje deklarace identity uživatele platný. Tato aktualizace řeší uvedenou chybu zabezpečení opravou jak tokeny ID jsou ověřeny při Passport strategie využít výhod služby Active Directory Azure.

Často kladené dotazy týkající se této chyby zabezpečení

Q1: Pomocí služby Active Directory Azure. Ohrožen?A1: Tato chyba zabezpečení se týká pouze webových aplikací, které využívají k ověřování Azure AD pomocí pas-Azure-AD Node.js knihovny. Standardní ověřování Azure AD, která nepoužívá AD Azure služby Passport pro Node.js knihovny není ovlivněna. Tato chyba zabezpečení existuje ve webových aplikacích, které používají zastaralé verze AD Azure služby Passport pro Node.js knihovny.Q2: Co je Passport AD Azure pro Node.js?A2: Služba Passport AD Azure pro Node.js je kolekce Passport strategií, které pomáhají integrovat uzel aplikace Azure Active Directory. Obsahuje připojení OpenID, WS-Federation, SAML P ověření a autorizace. Tito poskytovatelé umožňují použít mnoho funkcí služby Passport-Azure AD pro Node.js, včetně webové jednotné přihlašování (WebSSO), Endpoint Protection s OAuth a vystavování tokenů JWT a ověřování.

Informace o aktualizaci

Vývojáři, kteří používají službu Passport Azure AD Node.js knihovny, musíte stáhnout nejnovější verzi služby Passport-Azure-AD Node.js knihovny a potom aktualizovat své aplikace. Podrobné technické informace jsou publikovány v našem úložiště GitHub.Vývojáři, kteří používají verze 1. x , musíte aktualizovat na verzi 1.4.6.Vývojáři, kteří používají verzi 2.0, musíte aktualizovat na verzi 2.0.1.

Stav

Společnost Microsoft potvrzuje, že se jedná o problém v pasu-Azure-AD Node.js knihovny.

Odkazy

Číslo CVE: 2016 7191Další informace o terminologii , kterou společnost Microsoft používá k popisu aktualizací softwaru.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti