סיכום
פגיעות של העלאת רמת הרשאות קיימת כאשר ספריית תכלת הרקיע Active Directory ב- Passport (Passport-תכלת הרקיע-AD עבור Node.js) מאמת אסימונים מזהה באופן שגוי.
תוקף המנצל פגיעות זו בהצלחה עלול לעקוף אימות של Active Directory תכלת הרקיע ליישום אינטרנט מארח היעד. כדי לנצל פגיעות זו, תוקף יצטרך לשלוח אסימון בעל מבנה מיוחד ליישום האינטרנט היעד מכיל הדרישות של זהות משתמש חוקי. עדכון זה מטפל בפגיעות על-ידי תיקון כיצד מאומתים אסימונים מזהה כאשר אסטרטגיות Passport מנצלים תכלת הרקיע Active Directory.
שאלות נפוצות אודות פגיעות זו
Q1: שימוש תכלת הרקיע Active Directory. אני מושפע?
A1: פגיעות זו משפיעה רק על יישומי אינטרנט שמשתמשים את Passport-תכלת הרקיע-AD עבור ספריית Node.js כדי לנצל את היתרונות של AD תכלת הרקיע לצורך אימות. תקן אימות AD תכלת הרקיע שאינו משתמש Passport-תכלת הרקיע-AD עבור ספריית Node.js אינם מושפעים. קיימת פגיעות יישומי אינטרנט שמשתמשים גירסאות מיושנות של Passport-תכלת הרקיע-AD עבור ספריית Node.js.
Q2: מהו Passport-תכלת הרקיע-AD עבור Node.js?
A2: Passport-תכלת הרקיע-AD עבור Node.js הוא אוסף של אסטרטגיות Passport המסייעים לך להשתלב היישומים שלך צומת תכלת הרקיע Active Directory. הוא כולל OpenID להתחבר, WS-הפדרציה, ו- SAML P אימות ומתן הרשאות. ספקים אלה מאפשרים לך להשתמש בתכונות רבות של Passport תכלת הרקיע AD עבור Node.js, כולל האינטרנט כניסה יחידה (WebSSO), הגנת קצה עם OAuth, הנפקת אסימון JWT ואת האימות.
עדכון מידע
מפתחים המשתמשים בספריה Passport תכלת הרקיע AD Node.js עליך להוריד את הגירסה העדכנית ביותר של ה Passport-תכלת הרקיע-AD עבור ספריית Node.js, ולאחר מכן עדכן את היישומים שלהם. פרטים טכניים מפורסמים ב שלנו GitHub המאגר.
מפתחים המשתמשים גירסה 1. x חייב לעדכן לגירסה 1.4.6.
מפתחים המשתמשים בגירסה 2.0 חייב לעדכן גירסה 2.0.1.
מצב
מיקרוסופט אישרה כי מדובר בבעיה Passport-תכלת הרקיע-הפרסומת עבור ספריית Node.js.
הפניות
מספר ה-CVE: 2016-7191
למד אודות המינוח שבו Microsoft משתמשת לתיאור עדכוני תוכנה.
