Zusammenfassung
Eine erweiterte Rechteschwachstelle entsteht, wenn die Azure Active Directory Passport-Bibliothek (Passport-Azure-AD for Node.js) ID-Token nicht richtig validiert.
Angreifer, die diese Schwachstelle erfolgreich ausnutzen, können die Azure Active Directory-Authentifizierung für eine bestimmte Hostwebanwendung umgehen. Dazu müsste der Angreifer ein speziell entwickeltes Token an die Zielwebanwendung senden, das einen gültigen Benutzeridentitätsanspruch enthält. Dieses Update sorgt für die Behebung dieser Schwachstelle – und zwar durch die Änderung der Art und Weise, wie ID-Token validiert werden, wenn Azure Active Directory für Passport-Strategien verwendet wird.
Häufig gestellte Fragen zu dieser Schwachstelle
F1: Ich verwende Azure Active Directory. Bin ich betroffen?
A1: Diese Schwachstelle wirkt sich nur auf Webanwendungen aus, die die Bibliothek „Passport-Azure-AD for Node.js“ zur Verwendung von Azure AD für die Authentifizierung nutzen. Bei der standardmäßigen Azure AD-Authentifizierung, für die diese Bibliothek nicht verwendet wird, tritt die Schwachstelle nicht auf. Die Schwachstelle betrifft Webanwendungen, die veraltete Versionen der Bibliothek „Passport-Azure-AD for Node.js“ verwenden.
F2: Was ist Passport-Azure-AD for Node.js?
A2: Bei Passport-Azure-AD for Node.js handelt es sich um eine Sammlung von Passport-Strategien, mit denen Sie Knotenanwendungen in Azure Active Directory integrieren können. Sie enthält OpenID Connect-, WS-Verbund- und SAML-P-Authentifizierung und Autorisierung. Diese Anbieter ermöglichen Ihnen die Nutzung der vielen Funktionen von Passport-Azure-AD for Node.js, einschließlich einmaliger Webanmeldung (WebSSO), Endpoint Protection mit OAuth und JWT-Tokenausgabe und -validierung.
Informationen zum Update
Entwickler, die die Bibliothek „Passport Azure AD Node.js“ verwenden, müssen die neueste Version der Bibliothek herunterladen und ihre Anwendungen anschließend aktualisieren. Die technischen Einzelheiten finden Sie in unserem GitHub-Repository.
Entwickler, die Version 1.x verwenden, müssen ein Update auf Version 1.4.6 durchführen.
Entwickler, die Version 2.0 verwenden, müssen ein Update auf Version 2.0.1 durchführen.
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem mit der Bibliothek „Passport-Azure-AD for Node.js“ handelt.
Informationsquellen
CVE-Nummer: 2016-7191
Weitere Informationen zur Terminologie, die Microsoft zum Beschreiben von Softwareupdates verwendet.