Sikkerhetsoppdatering for Passport-Azure-Annonsen for Node.js-bibliotek

VIKTIG: Denne artikkelen ble oversatt med maskinoversettelsesprogramvare fra Microsoft og muligens redigert av Microsoft Community via CTF-teknologi i stedet for av en oversetter. Microsoft tilbyr både menneskelig oversatte og maskinoversatte/Community-redigerte artikler, slik at du får tilgang til alle artiklene i vår Knowledge Base på ditt eget språk. En maskinoversatt eller Community-redigert artikkel er imidlertid ikke alltid perfekt. Den kan inneholde feil i vokabular, syntaks eller grammatikk, mye likt en fremmedspråklig som forsøker å snakke språket ditt. Microsoft har ikke ansvar for unøyaktige opplysninger, feil eller skade forårsaket av feilaktig oversettelse av innholdet eller kundenes bruk av informasjonen. Microsoft oppdaterer jevnlig maskinoversettelsesprogramvaren og -verktøyene for å forbedre redigering av maskinoversatte tekster.

Den engelske versjonen av denne artikkelen er den følgende: 3187742
Sammendrag
Det finnes et sikkerhetsproblem som kan forårsake rettighetsutvidelse når Azure Active Directory Passport-biblioteket (Passport-Azure-AD for Node.js) på feil måte validerer ID-tokener.

En angriper som klarer å utnytte dette sikkerhetsproblemet kan omgå Azure Active Directory-godkjenning til en bestemt vert web-applikasjon. For å utnytte dette sikkerhetsproblemet, må en angriper sende en spesiallaget kode til mål-web-applikasjonen som inneholder en gyldig bruker identitetskrav. Denne oppdateringen løser sikkerhetsproblemet ved å rette opp hvordan ID-tokener validert når Passport strategier dra nytte av Azure Active Directory.

Vanlige spørsmål om dette sikkerhetsproblemet

Q1: jeg bruke Azure Active Directory. Er jeg berørt?

A1: Dette sikkerhetsproblemet berører bare webprogrammer som bruker Passport-Azure-Annonsen for Node.js-biblioteket til å dra nytte av Azure AD for godkjenning. Standard Azure AD-godkjenning som ikke bruker Passport-Azure-AD for Node.js-biblioteket er ikke berørt. Sikkerhetsproblem i web-applikasjoner som bruker gamle versjoner av Passport-Azure-AD for Node.js-biblioteket.

Q2: Hva er Passport-Azure-AD for Node.js?

A2: Passport-Azure-Annonse for Node.js er en samling av Passport-strategier som hjelper deg med å integrere node-programmer med Azure Active Directory. Det inkluderer OpenID koble, WS-føderasjonen og SAML-P-autentisering og autorisasjon. Disse leverandørene kan du bruke mange av funksjonene i Passport-Azure-AD for Node.js, inkludert web enkel pålogging (WebSSO), Endpoint Protection med OAuth, og JWT token utstedelse og validering.

Oppdateringsinformasjon

Utviklere som bruker Passport Azure AD Node.js-bibliotek må laste ned den nyeste versjonen av Passport-Azure-Annonsen for Node.js-biblioteket, og deretter oppdatere programmene sine. De tekniske detaljene er publisert i vår GitHub oppbevaringssted.

Utviklere som bruker versjon 1.x må oppdatere til versjon 1.4.6.

Utviklere som bruker versjon 2.0, må oppdatere til versjon 2.0.1.

Status
Microsoft har bekreftet at dette er et problem i Passport-Azure-Annonsen for Node.js-biblioteket.
Referanser
CVE-nummer: 2016-7191

Lær mer om den terminologi som Microsoft bruker for å beskrive programvareoppdateringer.

Advarsel: Denne artikkelen er autooversatt

Egenskaper

Artikkel-ID: 3187742 – Forrige gjennomgang: 10/01/2016 00:25:00 – Revisjon: 4.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3187742 KbMtno
Tilbakemelding