Node.js ライブラリ用の Passport-Azure-AD のセキュリティ更新情報

概要
Azure Active Directory Passport ライブラリ(Node.js 用Passport-Azure-AD)が誤ってIDトークンを認証してしまった場合の高度な特権脆弱性のを説明します。

この脆弱性をうまく悪用した攻撃者は、標的ホストウェブアプリを対象としたAzure Active Directory 認証をバイパスすることができます。攻撃者は、この脆弱性を悪用するために、有効なユーザーIDを証明するものを含んだウェブアプリに細工を施したトークンを送る必要があります。この更新プログラムは、パスポートストラテジーがAzure Active Directoryを悪用するときのIDトークンの認証方法を訂正することで脆弱性を解決します。

この脆弱性に関してよく寄せられる質問

Q1: Azure Active Directory を使いますが、私は影響されているでしょうか。

A1: この脆弱性は認証にAzure AD を悪用するためにNode.js ライブラリ用のPassport-Azure-AD を使う ウェブアプリにのみ影響します。Node.js ライブラリ用のPassport-Azure-AD を使わない標準Azure AD 認証は影響されません。脆弱性は、Node.js ライブラリ用のPassport-Azure-AD の旧バージョンを使用するウェブアプリに存在します。

Q2: Node.js 用のPassport-Azure-AD とは何ですか。

A2: Node.js 用のPassport-Azure-AD とは、ノードアプリをAzure アクティブディレクトリに統合するのに役立つパスポートストラテジーの集積です。OpenID Connect、 WS-Federation、および SAML-P 認証と認定を含みます。これらのプロバイダは、ウェブシングルサインオン(WebSSO)、OAuth を使ったEndpoint Protection、および JWT トークン問題と認証を含むNode.js 用のPassport-Azure-AD 機能の使用を許可します。

更新プログラムの情報

Passport Azure AD Node.js ライブラリを使用する開発者は必ずNode.js ライブラリ用Passport-Azure-AD の最新バージョンをダウンロードし、その上でそれらのアプリをアップデートしなければなりません。技術的な詳細は、GitHub レポジトリに掲載されています。

バージョン1.x を使う開発者は必ず 1.4.6 のバージョンを使用しなければなりません。

バージョン2.0 を使う開発者は必ず 2.0.1.へアップデートしなければなりません。

状況
マイクロソフトでは、この問題はNode.js ライブラリ用Passport-Azure-AD の問題として認識しています。
関連情報
CVE 番号: 2016-7191

マイクロソフトでソフトウェア更新プログラムの説明に使用する 用語 を参照してください。
プロパティ

文書番号:3187742 - 最終更新日: 10/03/2016 12:03:00 - リビジョン: 3.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload KB3187742
フィードバック