Kokkuvõte
Haavatavuse tõus on olemas, kui Azure Active Directory Passporti teek (passi-Azure'i-AD Node.js) kinnitab valesti ID märgid.
Ründaja, kes kasutab edukalt selle haavatavuse võib mööduda Azure Active Directory autentimine suunatud hosti veebirakenduse. Kasutada selle haavatavuse, ründaja oleks spetsiaalselt formuleeritud luba saata target veebirakendus, mis sisaldab kehtiv kasutaja identiteedi taotlusi. See värskendus kõrvaldab haavatavuse, parandades kuidas kinnitada ID märkide, kui passi strateegiaid ära kasutada Azure Active Directory.
Korduma kippuvate küsimuste lahendamiseks
Q1: Ma kasutan Azure Active Directory . Olen mõjutatud?
A1: See probleem mõjutab ainult Passporti-Azure AD Node.js teekide abil ära kasutada Azure AD autentimiseks veebirakenduste. Standard Azure AD autentimist, mis ei kasuta Passporti Azure AD Node.js Raamatukogu ei mõjuta. Haavatavuse kasutada aegunud versioonide Passporti Azure AD Node.js teegi veebirakendused on olemas.
Q2: Mis on passi-Azure'i-AD Node.js?
A2: Passi-Azure'i-AD Node.js on kogum Passporti strateegiad, mis aitavad teil integreerida sõlme rakenduste Azure Active Directory. See hõlmab OpenID Connect WS-Föderatsiooni ja SAML-P autentimine ja autoriseerimine. Need teenusepakkujad teile kasutada Node.js web ühekordse sisselogimise (WebSSO) lõpp-punkti kaitse OAuthi, sealhulgas passi-Azure AD paljud funktsioonid ja JWT loa väljaandmise ja valideerimine.
Värskenduse teave
Arendajad, kes passi Azure AD Node.js teegi kasutamine peab pass-Azure AD Node.js teegi uusima versiooni allalaadimiseks ja seejärel värskendage oma rakendustesse. Tehnilised üksikasjad on avaldatud meie GitHub hoidla.
Arendajad, kes kasutavad versiooni 1. x uuendatud versiooni 1.4.6.
Arendajad, kes kasutavad versioon 2.0 uuendatud versiooni 2.0.1.
Olek
Microsoft on kinnitanud, et see on probleem Passporti-Azure AD Node.js teegi.
Viited
CVE number: 2016-7191
Teave selle terminoloogia Microsofti tarkvaravärskenduste iseloomustamiseks.
