Résumé
Il existe une vulnérabilité d'élévation de privilèges lorsque la bibliothèque Azure Active Directory Passport (Passport-Azure-AD for Node.js) ne valide pas correctement des jetons d'ID.
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner l'authentification Azure Active Directory vers une application web hôte ciblée. Pour exploiter cette vulnérabilité, l'attaquant devrait envoyer un jeton spécialement conçu à l'application web cible qui contient les revendications d'identité d'un utilisateur valide. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont les jetons d'ID sont validés lorsque les stratégies Passport utilisent Azure Active Directory.
Forum aux questions sur cette vulnérabilité
Q1 : J'utilise Azure Active Directory. Suis-je concerné ?
R1 : Cette vulnérabilité ne concerne que les applications web qui utilisent la bibliothèque Passport-Azure-AD pour Node.js à des fins d'authentification à l'aide d'Azure AD. L'authentification Azure AD standard qui n'utilise pas la bibliothèque Passport-Azure-AD pour Node.js n'est pas concernée. La vulnérabilité existe dans les applications web qui utilisent des versions obsolètes de la bibliothèque Passport-Azure-AD pour Node.js.
Q2 : Qu'est-ce que la bibliothèque Passport-Azure-AD pour Node.js ?
R2 : La bibliothèque Passport-Azure-AD pour Node.js est un ensemble de stratégies Passport qui permettent d'intégrer les applications de nœud avec Azure Active Directory. Elle comprend les spécifications d'authentification et d'autorisation OpenID Connect, WS-Federation et SAML-P. Ces fournisseurs vous permettent d'utiliser les nombreuses fonctionnalités de la bibliothèque Passport-Azure-AD pour Node.js, notamment l'authentification unique via le web (WebSSO), Endpoint Protection avec OAuth et l'émission et la validation de jetons JWT.
Informations sur la mise à jour
Les développeurs qui utilisent la bibliothèque Passport Azure AD Node.js doivent télécharger la dernière version de la bibliothèque Passport-Azure-AD pour Node.js, puis mettre à jour leurs applications. Les détails techniques sont publiés dans notre référentiel GitHub.
Les développeurs qui utilisent la version 1.x doivent effectuer la mise à jour à la version 1.4.6.
Les développeurs qui utilisent la version 2.0 doivent effectuer la mise à jour à la version 2.0.1.
Statut
Microsoft a confirmé l'existence de ce problème pour la bibliothèque Passport-Azure-AD pour Node.js.
Références
Numéro CVE : 2016-7191
En savoir plus sur la terminologie utilisée par Microsoft pour décrire les mises à jour logicielles.