Riepilogo
Quando la libreria di Azure Active Directory Passport (profilo Passport-Azure-Active Directory per Node. js) convalida in modo errato token ID è presente un'elevazione di privilegi.
Un utente malintenzionato che sfrutti questa vulnerabilità potrebbe eludere Azure autenticazione Active Directory a un'applicazione web host di destinazione. Per sfruttare questa vulnerabilità, un utente malintenzionato sarebbe necessario inviare un token appositamente predisposto all'applicazione web di destinazione contenente attestazioni d'identità di un utente valido. Questo aggiornamento risolve la vulnerabilità correggendo la modalità di convalida token ID quando strategie Passport sfruttano Azure Active Directory.
Domande frequenti sulla vulnerabilità
Q1: Utilizzare Azure Active Directory. È interessato?
A1: Questa vulnerabilità interessa solo le applicazioni web che utilizzano l'annuncio di Azure Passport per raccolta Node. js in modo da sfruttare Azure Active Directory per l'autenticazione. Standard autenticazione AD Azure che non utilizza l'annuncio di Azure Passport per raccolta Node. js non è interessato. La vulnerabilità in applicazioni web che utilizzano le versioni non aggiornate dell'annuncio di Azure Passport per raccolta Node. js.
Q2: Cos'è Passport Azure Active Directory per Node. js?
A2: Annuncio di Azure Passport per Node. js è un insieme di strategie di Passport che consentono di integrare le applicazioni di nodo con Azure Active Directory. Include la connessione OpenID, WS-Federation e autenticazione SAML-P e l'autorizzazione. Tali provider consentono di utilizzare molte funzionalità di Active Directory Passport-Azure per Node. js, compresi web servizio single sign-on (WebSSO), Endpoint Protection con OAuth e di rilascio token JWT e di convalida.
Informazioni sull'aggiornamento
Gli sviluppatori che utilizzano la libreria di Node. js AD Azure Passport devono scaricare la versione più recente dell'annuncio di Azure Passport per raccolta Node. js e quindi aggiornare le proprie applicazioni. I dettagli tecnici vengono pubblicati nel nostro repository di GitHub.
Sviluppatori che utilizzano la versione 1. x è necessario aggiornare alla versione 1.4.6.
Gli sviluppatori che utilizzano la versione 2.0 è necessario aggiornare alla versione 2.0.1.
Stato
Microsoft ha confermato che questo problema si verifica con l'annuncio di Azure Passport per raccolta Node. js.
Riferimenti
Numero CVE: 2016-7191
Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.