Sicherheitsupdate für die ADAL .NET-Bibliothek

Zusammenfassung
Ein Sicherheitsrisiko im Zusammenhang mit der Rechteerweiterung tritt bei der Active Directory Authentication Library für .NET (ADAL .NET) in bestimmten problematischen Situationen auf.

Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte ein Token erlangen, das höhere Rechte gewährt, als für eine Anwendung gewährt werden sollten.

Dieses Problem tritt in Situationen auf, in denen das Protokoll Im Auftrag von verwendet wird, sowie bei speziellen Anwendungsbereichen, in denen die Anweisungen ClientAssertion/ClientAssertionCertificate/ClientCredential und UserAssertion an die AcquireToken*-API übergeben werden.

Häufig gestellte Fragen zu dieser Schwachstelle

F1: Worum handelt es sich bei der Active Directory Authentication Library für .NET?

A1: Die Active Directory Authentication Library (ADAL) für .NET bietet benutzerfreundliche Authentifizierungsfunktionen für .NET-Clients und Windows Store-Anwendungen.

F2: Welche Versionen der Active Directory Authentication Library für .NET (ADAL .NET) sind davon betroffen?

A2: Es gibt zwei Probleme mit unterschiedlichem Verhalten, die in verschiedenen ADAL-Versionen auftreten. Es handelt sich um die folgenden Versionen:

  • ADAL-Versionen 2.0.x bis 2.21.x inkl. und ADAL-Versionen 3.0.x bis 3.5.x inkl.
  • ADAL-Versionen 2.25.x bis 2.27.x inkl. und ADAL-Versionen 3.10.x bis 3.11.x inkl.

F3: Bin ich bei Verwendung von Azure Active Directory von diesem Sicherheitsrisiko betroffen?

A3: Dieses Sicherheitsrisiko betrifft nur Anwendungen, die bestimmte Versionen von ADAL .NET unter bestimmten Bedingungen verwenden. Der Azure Active Directory-Dienst oder die Azure-Infrastruktur ist von diesem Sicherheitsrisiko nicht betroffen.

Informationen zum Update

Entwickler, die ADAL .NET verwenden, müssen die neueste Version von ADAL .NET herunterladen und anschließend ihre Anwendungen aktualisieren. Die technischen Einzelheiten finden Sie in unserem GitHub-Repository.

Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei der ADAL .NET-Bibliothek handelt.
Informationsquellen
Weitere Informationen zur Terminologie, die Microsoft zum Beschreiben von Softwareupdates verwendet.
Eigenschaften

Artikelnummer: 3190237 – Letzte Überarbeitung: 09/08/2016 13:02:00 – Revision: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload KB3190237
Feedback