Aggiornamento della protezione per la libreria .NET ADAL

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 3190237
Sommario
Un'elevazione di privilegi esistente nella libreria autenticazione Active Directory per .NET (ADAL .NET) negli scenari di problema specifico.

Un utente malintenzionato che sfrutti questa vulnerabilità può ricevere un token di concessione di privilegi più elevati deve essere concesso per un'applicazione.

Questo problema si verifica in scenari che includono i casi di utilizzo specifico diClientAssertionCertificate/ClientAssertion/ClientCredential e UserAssertion passati per il AcquireToken * API eper conto delflusso di protocollo.

Domande frequenti sulla vulnerabilità

Q1: Che cos'è Active Directory autenticazione Library for .NET?

A1: Il protocollo Active Directory autenticazione libreria (ADAL) per .NET fornisce funzionalità di autenticazione semplice da utilizzare per i client .NET e applicazioni Windows Store.

Q2: Le versioni della libreria di autenticazione di Active Directory per .NET (ADAL .NET) sono interessate?

A2: Esistono due issuesthat hanno un comportamento differente che si verificano in diverse versioni ADAL. Queste versioni sono le seguenti:

  • Versioni 2.0 ADAL.x a 2.21.x ADAL e inclusive versioni 3.0.x in 3.5.x inclusivo.
  • Versioni ADAL 2.25.x a 2.27.x versioni ADAL e inclusive 3.10.x a 3.11.x inclusivo.

Q3: Utilizzare Azure Active Directory. È interessato?

A3: Questa vulnerabilità interessa solo le applicazioni che utilizzano versioni specifiche di .NET ADAL in condizioni specifiche. Questo problema non riguarda il servizio Active Directory Azure Microsoft o infrastruttura di Azure.

Informazioni sull'aggiornamento

Gli sviluppatori che utilizzano .NET ADAL necessario scaricare la versione più recente di .NET ADAL e quindi aggiornare le proprie applicazioni. I dettagli tecnici sono pubblicati nella nostraRepository GitHub.

Status
Microsoft ha confermato che si tratta di un problema nella libreria .NET ADAL.
Riferimenti
Per ulteriori informazioni, vedere la terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 3190237 - Ultima revisione: 09/08/2016 12:02:00 - Revisione: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3190237 KbMtit
Feedback