Mise à jour de sécurité pour la bibliothèque ADAL .NET

Résumé
Il existe une vulnérabilité d'élévation de privilèges dans la bibliothèque d'authentification Active Directory pour .NET (ADAL .NET) dans des scénarios problématiques spécifiques.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait recevoir un jeton lui accordant des privilèges plus élevés pour une application.

Ce problème se présente dans des scénarios qui incluent le flux de protocole On Behalf Of et des cas d'emploi spécifiques de jetons ClientAssertion/ClientAssertionCertificate/ClientCredential et UserAssertion transmis à l'API AcquireToken*.

Forum aux questions sur cette vulnérabilité

Q1 : Qu'est-ce que la bibliothèque d'authentification Active Directory pour .NET ?

R1 : La bibliothèque d'authentification Active Directory (ADAL) pour .NET propose une fonctionnalité d'authentification conviviale pour les clients et les .NET et les applications Windows Store.

Q2 : Quelles sont les versions concernées de la bibliothèque d'authentification Active Directory pour .NET (ADAL .NET) ?

R2 : Il existe deux problèmes ayant des comportements différents qui se produisent dans des versions distinctes d'ADAL. Il s'agit des versions suivantes :

  • ADAL versions 2.0.x à 2.21.x incluses et ADAL versions 3.0.x à 3.5.x incluses.
  • ADAL versions 2.25.x à 2.27.x incluses et ADAL versions 3.10.x à 3.11.x incluses.

Q3 : J'utilise Azure Active Directory. Suis-je concerné ?

R3 : Cette vulnérabilité ne concerne que les applications qui utilisent des versions spécifiques d'ADAL .NET, dans des conditions particulières. Ce problème ne concerne ni le service Azure AD, ni l'infrastructure Microsoft ou Azure.

Informations sur la mise à jour

Les développeurs qui utilisent ADAL .NET doivent télécharger la dernière version d'ADAL .NET, puis mettre à jour leurs applications. Les détails techniques sont publiés dans notre référentiel GitHub.

Statut
Microsoft a confirmé l'existence de ce problème dans la bibliothèque ADAL .NET.
Références
En savoir plus sur la terminologie utilisée par Microsoft pour décrire les mises à jour logicielles.
Propriétés

ID d'article : 3190237 - Dernière mise à jour : 09/08/2016 13:03:00 - Révision : 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload KB3190237
Commentaires