Ringkasan
Kerentanan hak pengangkatan ada saat Perpustakaan Azure Active Directory paspor (paspor-Azure-AD untuk Node.js) salah memvalidasi ID bukti.
Seorang penyerang yang berhasil eksploitasi kerentanan ini dapat bypass otentikasi Azure Active Directory ke aplikasi web host tertarget. Untuk memanfaatkan kerentanan ini, penyerang harus mengirim token dibuat khusus untuk aplikasi web target yang berisi klaim identitas pengguna yang valid. Pemutakhiran ini membahas kerentanan oleh mengoreksi bagaimana ID bukti divalidasi ketika paspor strategi mengambil keuntungan dari Azure Active Directory.Pertanyaan umum tentang kerentanan ini
Q1: Menggunakan Azure Active Directory. Saya dipengaruhi?
A1: Kerentanan ini hanya mempengaruhi aplikasi web yang menggunakan paspor-Azure-AD untuk Node.js perpustakaan untuk mengambil keuntungan dari Azure AD untuk otentikasi. Standar Azure AD otentikasi yang tidak menggunakan AD paspor Azure untuk Node.js perpustakaan tidak terpengaruh. Terjadi kerentanan pada aplikasi web yang menggunakan versi kedaluwarsa AD paspor Azure untuk Node.js Perpustakaan. Q2: Apa itu paspor-Azure-AD untuk Node.js? A2: Paspor-Azure-AD untuk Node.js adalah koleksi paspor strategi yang membantu Anda mengintegrasikan aplikasi node dengan Azure Active Directory. Ini mencakup OpenID Connect, WS-Federasi dan SAML-P otentikasi dan otorisasi. Penyedia layanan ini memungkinkan Anda menggunakan banyak fitur AD paspor Azure untuk Node.js, termasuk web masuk tunggal (WebSSO), Endpoint Protection dengan OAuth, dan penerbitan token JWT dan validasi.Informasi pemutakhiran
Pengembang yang menggunakan perpustakaan paspor Azure AD Node.js harus mengunduh versi terbaru paspor-Azure-AD untuk Node.js Perpustakaan, dan kemudian memutakhirkan aplikasinya. Rincian teknis yang diterbitkan di kami GitHub penyimpanan. Pengembang yang menggunakan versi 1. x harus memutakhirkan ke versi 1.4.6. Pengembang yang menggunakan versi 2.0 harus memutakhirkan ke versi 2.0.1.
Status
Microsoft telah mengkonfirmasi bahwa ini adalah masalah di paspor-Azure-iklan untuk Node.js Perpustakaan.
Referensi
Nomor CVE: 2016-7191terminologi yang digunakan untuk menjelaskan pemutakhiran perangkat lunak Microsoft.
Pelajari tentang