Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Résumé

Il existe une vulnérabilité d'élévation de privilèges lorsque la bibliothèque Azure Active Directory Passport (Passport-Azure-AD for Node.js) ne valide pas correctement des jetons d'ID.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait contourner l'authentification Azure Active Directory vers une application web hôte ciblée. Pour exploiter cette vulnérabilité, l'attaquant devrait envoyer un jeton spécialement conçu à l'application web cible qui contient les revendications d'identité d'un utilisateur valide. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont les jetons d'ID sont validés lorsque les stratégies Passport utilisent Azure Active Directory.

Forum aux questions sur cette vulnérabilité

Q1 : J'utilise Azure Active Directory. Suis-je concerné ?

R1 : Cette vulnérabilité ne concerne que les applications web qui utilisent la bibliothèque Passport-Azure-AD pour Node.js à des fins d'authentification à l'aide d'Azure AD. L'authentification Azure AD standard qui n'utilise pas la bibliothèque Passport-Azure-AD pour Node.js n'est pas concernée. La vulnérabilité existe dans les applications web qui utilisent des versions obsolètes de la bibliothèque Passport-Azure-AD pour Node.js.

Q2 : Qu'est-ce que la bibliothèque Passport-Azure-AD pour Node.js ?

R2 : La bibliothèque Passport-Azure-AD pour Node.js est un ensemble de stratégies Passport qui permettent d'intégrer les applications de nœud avec Azure Active Directory. Elle comprend les spécifications d'authentification et d'autorisation OpenID Connect, WS-Federation et SAML-P. Ces fournisseurs vous permettent d'utiliser les nombreuses fonctionnalités de la bibliothèque Passport-Azure-AD pour Node.js, notamment l'authentification unique via le web (WebSSO), Endpoint Protection avec OAuth et l'émission et la validation de jetons JWT.

Informations sur la mise à jour

Les développeurs qui utilisent la bibliothèque Passport Azure AD Node.js doivent télécharger la dernière version de la bibliothèque Passport-Azure-AD pour Node.js, puis mettre à jour leurs applications. Les détails techniques sont publiés dans notre référentiel GitHub.

Les développeurs qui utilisent la version 1.x doivent effectuer la mise à jour à la version 1.4.6.

Les développeurs qui utilisent la version 2.0 doivent effectuer la mise à jour à la version 2.0.1.

Statut

Microsoft a confirmé l'existence de ce problème pour la bibliothèque Passport-Azure-AD pour Node.js.

Références

Numéro CVE : 2016-7191

En savoir plus sur la terminologie utilisée par Microsoft pour décrire les mises à jour logicielles.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×