概要
Azure Active Directory Passport ライブラリ(Node.js 用Passport-Azure-AD)が誤ってIDトークンを認証してしまった場合の高度な特権脆弱性のを説明します。
この脆弱性をうまく悪用した攻撃者は、標的ホストウェブアプリを対象としたAzure Active Directory 認証をバイパスすることができます。攻撃者は、この脆弱性を悪用するために、有効なユーザーIDを証明するものを含んだウェブアプリに細工を施したトークンを送る必要があります。この更新プログラムは、パスポートストラテジーがAzure Active Directoryを悪用するときのIDトークンの認証方法を訂正することで脆弱性を解決します。
この脆弱性に関してよく寄せられる質問
Q1: Azure Active Directory を使いますが、私は影響されているでしょうか。
A1: この脆弱性は認証にAzure AD を悪用するためにNode.js ライブラリ用のPassport-Azure-AD を使う ウェブアプリにのみ影響します。Node.js ライブラリ用のPassport-Azure-AD を使わない標準Azure AD 認証は影響されません。脆弱性は、Node.js ライブラリ用のPassport-Azure-AD の旧バージョンを使用するウェブアプリに存在します。
Q2: Node.js 用のPassport-Azure-AD とは何ですか。
A2: Node.js 用のPassport-Azure-AD とは、ノードアプリをAzure アクティブディレクトリに統合するのに役立つパスポートストラテジーの集積です。OpenID Connect、 WS-Federation、および SAML-P 認証と認定を含みます。これらのプロバイダは、ウェブシングルサインオン(WebSSO)、OAuth を使ったEndpoint Protection、および JWT トークン問題と認証を含むNode.js 用のPassport-Azure-AD 機能の使用を許可します。
更新プログラムの情報
Passport Azure AD Node.js ライブラリを使用する開発者は必ずNode.js ライブラリ用Passport-Azure-AD の最新バージョンをダウンロードし、その上でそれらのアプリをアップデートしなければなりません。技術的な詳細は、GitHub レポジトリに掲載されています。
バージョン1.x を使う開発者は必ず 1.4.6 のバージョンを使用しなければなりません。
バージョン2.0 を使う開発者は必ず 2.0.1.へアップデートしなければなりません。
状況
マイクロソフトでは、この問題はNode.js ライブラリ用Passport-Azure-AD の問題として認識しています。
関連情報
CVE 番号: 2016-7191
マイクロソフトでソフトウェア更新プログラムの説明に使用する 用語 を参照してください。