요약
Azure Active Directory Passport 라이브러리(Passport-Azure-AD for Node.js)가 ID 토큰의 유효성을 제대로 검사하지 않는 경우 권한 상승 취약성이 존재합니다.
이 취약성을 성공적으로 악용하는 공격자는 대상 호스트 웹 응용 프로그램에 대한 Azure Active Directory 인증을 우회할 수 있습니다. 공격자는 이 취약성을 악용하기 위해 유효한 사용자의 ID 클레임이 포함된, 특수하게 조작된 토큰을 대상 웹 응용 프로그램에 전송해야 합니다. 이 업데이트는 Passport 전략이 Azure Active Directory를 활용할 때 ID 토큰의 유효성을 검사하는 방법을 수정하여 이 취약성을 해결합니다.
이 취약성에 대한 질문과 대답
질문1: Azure Active Directory를 사용하고 있는데 저도 영향을 받게 됩니까?
대답1: 이 취약성은 Passport-Azure-AD for Node.js 라이브러리를 통해 Azure AD를 인증에 활용하는 웹 응용 프로그램에만 영향을 미칩니다. Passport-Azure-AD for Node.js 라이브러리를 사용하지 않는 표준 Azure AD 인증에는 아무런 영향이 없습니다. 이 취약성은 오래된 버전의 Passport-Azure-AD for Node.js 라이브러리를 사용하는 웹 응용 프로그램에 존재합니다.
질문2: Passport-Azure-AD for Node.js란 무엇입니까?
대답2: Passport-Azure-AD for Node.js는 노드 응용 프로그램과 Azure Active Directory를 손쉽게 통합할 수 있게 해 주는 Passport 전략 모음입니다. 여기에는 OpenID Connect, WS-Federation 및 SAML-P 인증 및 권한 부여가 포함됩니다. 이를 통해 WebSSO(웹 Single Sign-On), Endpoint Protection with OAuth, JWT 토큰 발행 및 유효성 검사를 포함하여 Passport-Azure-AD for Node.js의 많은 기능을 사용할 수 있습니다.
업데이트 정보
Passport Azure AD Node.js 라이브러리를 사용하는 개발자는 최신 버전의 Passport Azure AD Node.js 라이브러리를 다운로드한 후 응용 프로그램을 업데이트해야 합니다. 기술 세부 정보는 GitHub 리포지토리에 게시되어 있습니다.
버전 1.x를 사용하는 개발자는 버전 1.4.6으로 업데이트해야 합니다.
버전 2.0을 사용하는 개발자는 버전 2.0.1로 업데이트해야 합니다.
현재 상태
Microsoft에서는 이 문제가 Passport-Azure-AD for Node.js 라이브러리의 문제인 것으로 확인했습니다.
참조
CVE 번호: 2016-7191
Microsoft에서 소프트웨어 업데이트를 설명하는 데 사용하는 용어를 자세히 알아보십시오.
