Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Zusammenfassung

Eine erweiterte Rechteschwachstelle entsteht, wenn die Azure Active Directory Passport-Bibliothek (Passport-Azure-AD for Node.js) ID-Token nicht richtig validiert.

Angreifer, die diese Schwachstelle erfolgreich ausnutzen, können die Azure Active Directory-Authentifizierung für eine bestimmte Hostwebanwendung umgehen. Dazu müsste der Angreifer ein speziell entwickeltes Token an die Zielwebanwendung senden, das einen gültigen Benutzeridentitätsanspruch enthält. Dieses Update sorgt für die Behebung dieser Schwachstelle – und zwar durch die Änderung der Art und Weise, wie ID-Token validiert werden, wenn Azure Active Directory für Passport-Strategien verwendet wird.

Häufig gestellte Fragen zu dieser Schwachstelle

F1: Ich verwende Azure Active Directory. Bin ich betroffen?

A1: Diese Schwachstelle wirkt sich nur auf Webanwendungen aus, die die Bibliothek „Passport-Azure-AD for Node.js“ zur Verwendung von Azure AD für die Authentifizierung nutzen. Bei der standardmäßigen Azure AD-Authentifizierung, für die diese Bibliothek nicht verwendet wird, tritt die Schwachstelle nicht auf. Die Schwachstelle betrifft Webanwendungen, die veraltete Versionen der Bibliothek „Passport-Azure-AD for Node.js“ verwenden.

F2: Was ist Passport-Azure-AD for Node.js?

A2: Bei Passport-Azure-AD for Node.js handelt es sich um eine Sammlung von Passport-Strategien, mit denen Sie Knotenanwendungen in Azure Active Directory integrieren können. Sie enthält OpenID Connect-, WS-Verbund- und SAML-P-Authentifizierung und Autorisierung. Diese Anbieter ermöglichen Ihnen die Nutzung der vielen Funktionen von Passport-Azure-AD for Node.js, einschließlich einmaliger Webanmeldung (WebSSO), Endpoint Protection mit OAuth und JWT-Tokenausgabe und -validierung.

Informationen zum Update

Entwickler, die die Bibliothek „Passport Azure AD Node.js“ verwenden, müssen die neueste Version der Bibliothek herunterladen und ihre Anwendungen anschließend aktualisieren. Die technischen Einzelheiten finden Sie in unserem GitHub-Repository.

Entwickler, die Version 1.x verwenden, müssen ein Update auf Version 1.4.6 durchführen.

Entwickler, die Version 2.0 verwenden, müssen ein Update auf Version 2.0.1 durchführen.

Status

Microsoft hat bestätigt, dass es sich hierbei um ein Problem mit der Bibliothek „Passport-Azure-AD for Node.js“ handelt.

Informationsquellen

CVE-Nummer: 2016-7191

Weitere Informationen zur Terminologie, die Microsoft zum Beschreiben von Softwareupdates verwendet.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×