Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Riepilogo

Quando la libreria di Azure Active Directory Passport (profilo Passport-Azure-Active Directory per Node. js) convalida in modo errato token ID è presente un'elevazione di privilegi.

Un utente malintenzionato che sfrutti questa vulnerabilità potrebbe eludere Azure autenticazione Active Directory a un'applicazione web host di destinazione. Per sfruttare questa vulnerabilità, un utente malintenzionato sarebbe necessario inviare un token appositamente predisposto all'applicazione web di destinazione contenente attestazioni d'identità di un utente valido. Questo aggiornamento risolve la vulnerabilità correggendo la modalità di convalida token ID quando strategie Passport sfruttano Azure Active Directory.

Domande frequenti sulla vulnerabilità

Q1: Utilizzare Azure Active Directory. È interessato?

A1: Questa vulnerabilità interessa solo le applicazioni web che utilizzano l'annuncio di Azure Passport per raccolta Node. js in modo da sfruttare Azure Active Directory per l'autenticazione. Standard autenticazione AD Azure che non utilizza l'annuncio di Azure Passport per raccolta Node. js non è interessato. La vulnerabilità in applicazioni web che utilizzano le versioni non aggiornate dell'annuncio di Azure Passport per raccolta Node. js.

Q2: Cos'è Passport Azure Active Directory per Node. js?

A2: Annuncio di Azure Passport per Node. js è un insieme di strategie di Passport che consentono di integrare le applicazioni di nodo con Azure Active Directory. Include la connessione OpenID, WS-Federation e autenticazione SAML-P e l'autorizzazione. Tali provider consentono di utilizzare molte funzionalità di Active Directory Passport-Azure per Node. js, compresi web servizio single sign-on (WebSSO), Endpoint Protection con OAuth e di rilascio token JWT e di convalida.

Informazioni sull'aggiornamento

Gli sviluppatori che utilizzano la libreria di Node. js AD Azure Passport devono scaricare la versione più recente dell'annuncio di Azure Passport per raccolta Node. js e quindi aggiornare le proprie applicazioni. I dettagli tecnici vengono pubblicati nel nostro repository di GitHub.

Sviluppatori che utilizzano la versione 1. x è necessario aggiornare alla versione 1.4.6.

Gli sviluppatori che utilizzano la versione 2.0 è necessario aggiornare alla versione 2.0.1.

Stato

Microsoft ha confermato che questo problema si verifica con l'annuncio di Azure Passport per raccolta Node. js.

Riferimenti

Numero CVE: 2016-7191

Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×