Resumen
Una vulnerabilidad de elevación de privilegios existe cuando la biblioteca de Azure Active Directory Passport (Passport-Azure-AD para Node.js) valida incorrectamente los tokens de ID.
Un atacante que explote con éxito esta vulnerabilidad podría omitir la autenticación de Azure Active Directory a una aplicación web de destino del host. Para aprovechar esta vulnerabilidad, un atacante tendría que enviar un token especialmente diseñado para la aplicación web de destino que contiene notificaciones de identidad de un usuario válido. Esta actualización corrige la vulnerabilidad al corregir cómo se validan los tokens ID cuando estrategias de Passport aprovechan las ventajas de Azure Active Directory.
Preguntas más frecuentes acerca de esta vulnerabilidad
Q1: se usa Active Directory de Azure. ¿Afecta?
A1: Esta vulnerabilidad sólo afecta a aplicaciones web que utilizan Passport-Azure-AD de la biblioteca de Node.js para aprovechar de Azure AD en la autenticación. La autenticación de Azure AD estándar que no use Passport-Azure-AD para la biblioteca de Node.js no se ve afectada. La vulnerabilidad existe en aplicaciones web que utilizan las versiones obsoletas de Passport-Azure-AD para la biblioteca de Node.js.
Q2: ¿Qué es Passport-Azure-AD para Node.js?
A2: Passport-Azure-AD para Node.js es un conjunto de estrategias de Passport que le ayudarán a integrar sus aplicaciones de nodo con Azure Active Directory. Incluye OpenID Connect, WS-Federation y autenticación SAML-P y autorización. Estos proveedores le permiten utilizar las numerosas características de Passport-Azure-AD para Node.js, incluyendo inicio de sesión único en web (WebSSO), protección de extremos con OAuth y emisión y validación de tokens de JWT.
Información de actualización
Los desarrolladores que utilizan la biblioteca Node.js de Passport Azure AD deben descargar la versión más reciente de Passport-Azure-AD para la biblioteca de Node.js y, a continuación, actualizar sus aplicaciones. Los detalles técnicos se publican en nuestro repositorio de GitHub.
Desarrolladores que utilizan la versión 1. x deben actualizar a la versión 1.4.6.
Los desarrolladores que utilizan la versión 2.0 deben actualizar a la versión 2.0.1.
Estado
Microsoft ha confirmado que se trata de un problema en Passport-Azure-AD la para biblioteca de Node.js.
Referencias
Número CVE: 7191 de 2016
Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.