Pembaruan keamanan untuk Perpustakaan ADAL .NET

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 3190237
Ringkasan
Kerentanan hak pengangkatan ada di Perpustakaan otentikasi direktori aktif untuk .NET (ADAL .NET) dalam skenario masalah khusus.

Seorang penyerang yang berhasil eksploitasi kerentanan ini dapat menerima token memberikan hak yang lebih tinggi daripada harus diberikan untuk aplikasi.

Masalah ini terjadi dalam skenario yang mencakupnama dariprotokol aliran dan khusus kasus penggunaanClientAssertion/ClientAssertionCertificate/ClientCredential dan UserAssertion yang disampaikan ke AcquireToken * API.

Pertanyaan umum tentang kerentanan ini

Q1: Apa yang dimaksud Active Directory otentikasi Perpustakaan .NET?

A1: Active Directory otentikasi Perpustakaan (ADAL) untuk .NET menyediakan fungsionalitas mudah digunakan otentikasi .NET klien dan aplikasi Windows Store.

T2: Versi Active Directory otentikasi Perpustakaan .NET (ADAL .NET) yang terpengaruh?

A2: Ada dua issuesthat memiliki perilaku yang berbeda yang terjadi di versi ADAL yang berbeda. Versi ini adalah sebagai berikut:

  • ADAL versi 2.0.x untuk 2. 21.x termasuk dan ADAL versi 3.0.x untuk 3.5.x termasuk.
  • ADAL versi 2. 25.x untuk 2,27.x termasuk dan ADAL versi 3.10.x untuk 3.11.x termasuk.

Q3: Menggunakan Azure Active Directory. Saya dipengaruhi?

A3: Kerentanan ini mempengaruhi hanya aplikasi yang menggunakan versi khusus dari .NET ADAL di bawah kondisi tertentu. Masalah ini tidak mempengaruhi Layanan Azure Active Directory atau Microsoft atau infrastruktur Azure.

Informasi pemutakhiran

Pengembang yang menggunakan ADAL .NET harus men-download versi terbaru ADAL .NET dan kemudian memutakhirkan aplikasinya. Rincian teknis yang diterbitkan di kamiGitHub Penyimpanan.

Status
Microsoft telah mengkonfirmasi bahwa ini adalah masalah di Perpustakaan ADAL .NET.
Referensi
Pelajari tentang istilah Microsoft yang digunakan untuk menjelaskan pembaruan peranti penangkap lunak.

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 3190237 - Tinjauan Terakhir: 09/08/2016 12:02:00 - Revisi: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3190237 KbMtid
Tanggapan