Mise à jour de sécurité pour la bibliothèque Passport-Azure-AD pour Node.js

Résumé
Il existe une vulnérabilité d'élévation de privilèges lorsque la bibliothèque Azure Active Directory Passport (Passport-Azure-AD for Node.js) ne valide pas correctement des jetons d'ID.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner l'authentification Azure Active Directory vers une application web hôte ciblée. Pour exploiter cette vulnérabilité, l'attaquant devrait envoyer un jeton spécialement conçu à l'application web cible qui contient les revendications d'identité d'un utilisateur valide. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont les jetons d'ID sont validés lorsque les stratégies Passport utilisent Azure Active Directory.

Forum aux questions sur cette vulnérabilité

Q1 : J'utilise Azure Active Directory. Suis-je concerné ?

R1 : Cette vulnérabilité ne concerne que les applications web qui utilisent la bibliothèque Passport-Azure-AD pour Node.js à des fins d'authentification à l'aide d'Azure AD. L'authentification Azure AD standard qui n'utilise pas la bibliothèque Passport-Azure-AD pour Node.js n'est pas concernée. La vulnérabilité existe dans les applications web qui utilisent des versions obsolètes de la bibliothèque Passport-Azure-AD pour Node.js.

Q2 : Qu'est-ce que la bibliothèque Passport-Azure-AD pour Node.js ?

R2 : La bibliothèque Passport-Azure-AD pour Node.js est un ensemble de stratégies Passport qui permettent d'intégrer les applications de nœud avec Azure Active Directory. Elle comprend les spécifications d'authentification et d'autorisation OpenID Connect, WS-Federation et SAML-P. Ces fournisseurs vous permettent d'utiliser les nombreuses fonctionnalités de la bibliothèque Passport-Azure-AD pour Node.js, notamment l'authentification unique via le web (WebSSO), Endpoint Protection avec OAuth et l'émission et la validation de jetons JWT.

Informations sur la mise à jour

Les développeurs qui utilisent la bibliothèque Passport Azure AD Node.js doivent télécharger la dernière version de la bibliothèque Passport-Azure-AD pour Node.js, puis mettre à jour leurs applications. Les détails techniques sont publiés dans notre référentiel GitHub.

Les développeurs qui utilisent la version 1.x doivent effectuer la mise à jour à la version 1.4.6.

Les développeurs qui utilisent la version 2.0 doivent effectuer la mise à jour à la version 2.0.1.

Statut
Microsoft a confirmé l'existence de ce problème pour la bibliothèque Passport-Azure-AD pour Node.js.
Références
Numéro CVE : 2016-7191

En savoir plus sur la terminologie utilisée par Microsoft pour décrire les mises à jour logicielles.
Propriétés

ID d'article : 3187742 - Dernière mise à jour : 10/03/2016 14:24:00 - Révision : 3.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload KB3187742
Commentaires