Actualización de seguridad para la biblioteca de .NET ADAL

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3190237
Resumen
Existe una vulnerabilidad de elevación de privilegios en la biblioteca de autenticación de Active Directory para .NET (.NET ADAL) en escenarios de problema específico.

Un atacante que explote con éxito esta vulnerabilidad podría recibir una concesión de privilegio más alto que debe concederse para una aplicación de símbolo (token).

Este problema se produce en situaciones que incluyen elnombre delflujo de protocolo y casos de uso específico deClientAssertionCertificate/ClientAssertion/ClientCredential y UserAssertion que se pasa a la AcquireToken * API.

Preguntas más frecuentes acerca de esta vulnerabilidad

Trimestre 1: ¿Qué es la biblioteca de autenticación de Active Directory para. NET?

A1: La biblioteca de autenticación de Active Directory (ADAL) para .NET proporciona funcionalidad de autenticación fácil de usar para clientes de .NET y aplicaciones de almacenamiento de Windows.

P2: Qué versiones de la biblioteca de autenticación de Active Directory para .NET (.NET ADAL) están afectadas?

A2: Hay dos costra tiene un comportamiento diferente que se producen en diferentes versiones ADAL. Estas versiones son las siguientes:

  • ADAL versiones 2.0.x a 2.21.x inclusivos y ADAL versiones 3.0.x 3.5.x ambos inclusive.
  • ADAL versiones 2.25.x a 2.27.x inclusivos y ADAL versiones 3.10.x a 3.11.x ambos inclusive.

Q3: se usa Active Directory de Azure. ¿Afecta?

A3: Esta vulnerabilidad sólo afecta a aplicaciones que utilizan las versiones específicas de .NET ADAL en condiciones específicas. Este problema no afecta el servicio Active Directory de Azure o Microsoft o infraestructura de Azure.

Información de actualización

Los desarrolladores que usan .NET ADAL deben descargar la versión más reciente de .NET ADAL y, a continuación, actualizar sus aplicaciones. Los detalles técnicos que se publican en nuestroRepositorio de GitHub.

Estado
Microsoft ha confirmado que se trata de un problema en la biblioteca de .NET ADAL.
Referencias
Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3190237 - Última revisión: 09/07/2016 16:58:00 - Revisión: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3190237 KbMtes
Comentarios