Actualización de seguridad para Passport-Azure-AD de la biblioteca Node.js

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3187742
Resumen
Una vulnerabilidad de elevación de privilegios existe cuando la biblioteca de Azure Active Directory Passport (Passport-Azure-AD para Node.js) valida incorrectamente los tokens de ID.

Un atacante que explote con éxito esta vulnerabilidad podría omitir la autenticación de Azure Active Directory a una aplicación web de destino del host. Para aprovechar esta vulnerabilidad, un atacante tendría que enviar un token especialmente diseñado para la aplicación web de destino que contiene notificaciones de identidad de un usuario válido. Esta actualización corrige la vulnerabilidad al corregir cómo se validan los tokens ID cuando estrategias de Passport aprovechan las ventajas de Azure Active Directory.

Preguntas más frecuentes acerca de esta vulnerabilidad

Q1: se usa Active Directory de Azure. ¿Afecta?

A1: Esta vulnerabilidad sólo afecta a aplicaciones web que utilizan Passport-Azure-AD de la biblioteca de Node.js para aprovechar de Azure AD en la autenticación. La autenticación de Azure AD estándar que no use Passport-Azure-AD para la biblioteca de Node.js no se ve afectada. La vulnerabilidad existe en aplicaciones web que utilizan las versiones obsoletas de Passport-Azure-AD para la biblioteca de Node.js.

Q2: ¿Qué es Passport-Azure-AD para Node.js?

A2: Passport-Azure-AD para Node.js es un conjunto de estrategias de Passport que le ayudarán a integrar sus aplicaciones de nodo con Azure Active Directory. Incluye OpenID Connect, WS-Federation y autenticación SAML-P y autorización. Estos proveedores le permiten utilizar las numerosas características de Passport-Azure-AD para Node.js, incluyendo inicio de sesión único en web (WebSSO), protección de extremos con OAuth y emisión y validación de tokens de JWT.

Información de actualización

Los desarrolladores que utilizan la biblioteca Node.js de Passport Azure AD deben descargar la versión más reciente de Passport-Azure-AD para la biblioteca de Node.js y, a continuación, actualizar sus aplicaciones. Los detalles técnicos que se publican en nuestro Repositorio de GitHub.

Desarrolladores que utilizan la versión 1.x debe actualizar a la versión 1.4.6.

Los desarrolladores que utilizan la versión 2.0 deben actualizar a la versión 2.0.1.

Estado
Microsoft ha confirmado que se trata de un problema en Passport-Azure-AD la para biblioteca de Node.js.
Referencias
Número CVE: 7191 de 2016

Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3187742 - Última revisión: 10/01/2016 00:19:00 - Revisión: 5.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3187742 KbMtes
Comentarios