Ringkasan

Kerentanan hak pengangkatan ada saat Perpustakaan Azure Active Directory paspor (paspor-Azure-AD untuk Node.js) salah memvalidasi ID bukti.

Seorang penyerang yang berhasil eksploitasi kerentanan ini dapat bypass otentikasi Azure Active Directory ke aplikasi web host tertarget. Untuk memanfaatkan kerentanan ini, penyerang harus mengirim token dibuat khusus untuk aplikasi web target yang berisi klaim identitas pengguna yang valid. Pemutakhiran ini membahas kerentanan oleh mengoreksi bagaimana ID bukti divalidasi ketika paspor strategi mengambil keuntungan dari Azure Active Directory.

Pertanyaan umum tentang kerentanan ini

Q1: Menggunakan Azure Active Directory. Saya dipengaruhi?

A1: Kerentanan ini hanya mempengaruhi aplikasi web yang menggunakan paspor-Azure-AD untuk Node.js perpustakaan untuk mengambil keuntungan dari Azure AD untuk otentikasi. Standar Azure AD otentikasi yang tidak menggunakan AD paspor Azure untuk Node.js perpustakaan tidak terpengaruh. Terjadi kerentanan pada aplikasi web yang menggunakan versi kedaluwarsa AD paspor Azure untuk Node.js Perpustakaan.

Q2: Apa itu paspor-Azure-AD untuk Node.js?

A2: Paspor-Azure-AD untuk Node.js adalah koleksi paspor strategi yang membantu Anda mengintegrasikan aplikasi node dengan Azure Active Directory. Ini mencakup OpenID Connect, WS-Federasi dan SAML-P otentikasi dan otorisasi. Penyedia layanan ini memungkinkan Anda menggunakan banyak fitur AD paspor Azure untuk Node.js, termasuk web masuk tunggal (WebSSO), Endpoint Protection dengan OAuth, dan penerbitan token JWT dan validasi.

Informasi pemutakhiran

Pengembang yang menggunakan perpustakaan paspor Azure AD Node.js harus mengunduh versi terbaru paspor-Azure-AD untuk Node.js Perpustakaan, dan kemudian memutakhirkan aplikasinya. Rincian teknis yang diterbitkan di kami GitHub penyimpanan.

Pengembang yang menggunakan versi 1. x harus memutakhirkan ke versi 1.4.6.

Pengembang yang menggunakan versi 2.0 harus memutakhirkan ke versi 2.0.1.

Status

Microsoft telah mengkonfirmasi bahwa ini adalah masalah di paspor-Azure-iklan untuk Node.js Perpustakaan.

Referensi

Nomor CVE: 2016-7191

Pelajari tentang terminologi yang digunakan untuk menjelaskan pemutakhiran perangkat lunak Microsoft.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas terjemahannya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×