Kopsavilkums
Privilēģiju ievainojamība paplašināt pastāv, ja nepareizi Azure Active Directory Passport bibliotēka (Passport-Azure-reklāmu Node.js) pārbauda ID pilnvaras.
Uzbrucējs, kurš veiksmīgi izmanto šo ievainojamību var apiet Azure Active Directory autentifikāciju mērķa resursdatoru tīmekļa lietojumprogrammu. Lai izmantotu šo ievainojamību, uzbrucējs būtu speciāli izstrādāts pilnvara nosūtīšanai uz mērķa web lietojumprogrammu, kas satur derīgu lietotāja identitātes prasības. Šis atjauninājums novērš ievainojamību, labojot kā ID pilnvaras tiek pārbaudīti, Passport stratēģijas priekšrocības Azure Active Directory.
Bieži uzdotie jautājumi par šī ievainojamība
Q1: Izmantot Azure Active Directory. Es esmu ietekmē?
A1: Tīmekļa lietojumprogrammas, kas izmanto Passport-Azure-AD Node.js bibliotēkas priekšrocības Azure AD autentifikācijai ietekmē tikai šo ievainojamību. Standarta Azure AD autentifikāciju, kas neizmanto Passport Azure AD Node.js bibliotēka netiek ietekmēta. Ievainojamība tīmekļa lietojumprogrammas, kas izmanto novecojušu versiju Passport Azure AD Node.js bibliotēkas.
Q2: What Passport-Azure-AD Node.js?
A2: Passport Azure AD par Node.js ir kolekcija Passport stratēģijas, kas palīdz integrēt programmas mezglu Azure Active Directory. Tajā skaitā OpenID Connect WS-Federācijas un SAML P autentifikācija un autorizācija. Šie pakalpojumu sniedzēji ļauj izmantot daudzi līdzekļi Passport-Azure AD Node.js, tostarp tīmekļa vienotā pierakstīšanās (WebSSO) Endpoint Protection ar OAuth, un JWT pilnvaru izsniegšanu un apstiprināšanu.
Informācija par atjauninājumu
Izstrādātājiem, kuri izmanto Passport Azure AD Node.js bibliotēkas lejupielādēt jaunāko rīka versiju Passport-Azure-AD Node.js bibliotēkas un pēc tam atjaunināt savas lietojumprogrammas. Detalizēta tehniskā informācija tiek publicēti mūsu GitHub krātuve.
Izstrādātājiem, kuri izmanto 1. versiju. x ir jāatjaunina 1.4.6 versiju.
Izstrādātājiem, kuri izmanto versija 2.0 versija 2.0.1 ir jāatjaunina.
Statuss
Korporācija Microsoft ir apstiprinājusi, ka šī problēma Passport-Azure-ad Node.js bibliotēkas.
Atsauces
CVE numurs: 2016 7191
Uzziniet par terminoloģiju , kas tiek izmantota Microsoft programmatūras atjauninājumu aprakstos.