Sikkerhetsoppdatering for .NET ADAL-bibliotek

VIKTIG: Denne artikkelen ble oversatt med maskinoversettelsesprogramvare fra Microsoft og muligens redigert av Microsoft Community via CTF-teknologi i stedet for av en oversetter. Microsoft tilbyr både menneskelig oversatte og maskinoversatte/Community-redigerte artikler, slik at du får tilgang til alle artiklene i vår Knowledge Base på ditt eget språk. En maskinoversatt eller Community-redigert artikkel er imidlertid ikke alltid perfekt. Den kan inneholde feil i vokabular, syntaks eller grammatikk, mye likt en fremmedspråklig som forsøker å snakke språket ditt. Microsoft har ikke ansvar for unøyaktige opplysninger, feil eller skade forårsaket av feilaktig oversettelse av innholdet eller kundenes bruk av informasjonen. Microsoft oppdaterer jevnlig maskinoversettelsesprogramvaren og -verktøyene for å forbedre redigering av maskinoversatte tekster.

Den engelske versjonen av denne artikkelen er den følgende: 3190237
Sammendrag
Et sikkerhetsproblem som kan forårsake rettighetsutvidelse finnes i Active Directory-godkjenning biblioteket for .NET (ADAL .NET) i scenarier med bestemte problemet.

En angriper som klarer å utnytte dette sikkerhetsproblemet, kan få et token som gir høyere privilegier enn bør gis for et program.

Dette problemet oppstår i situasjoner som inkluderer flytenpå vegne avprotokollen og bestemt brukstilfeller avClientAssertionCertificate/ClientAssertion/ClientCredential og UserAssertion som sendes til den AcquireToken * API.

Vanlige spørsmål om dette sikkerhetsproblemet

Q1: Hva er Active Directory-godkjenning bibliotek for .NET?

A1: Active Directory godkjenning bibliotek (ADAL) for .NET gir enkel å bruke godkjenning funksjonaliteten for .NET-klienter og Windows Store programmer.

Q2: Hvilke versjoner av Active Directory-godkjenning bibliotek for .NET (ADAL .NET) er berørt?

A2: Det finnes to issuesthat har annen virkemåte som forekommer i forskjellige ADAL versjoner. Disse versjonene er som følger:

  • ADAL versjon 2.0.x til 2.21.x inkluderende og ADAL versjon 3.0.x til 3.5.x inkluderende.
  • ADAL versjoner 2,25.x til 2.27.x inkluderende og ADAL versjon 3.10.x til 3.11.x inkluderende.

Q3: jeg bruke Azure Active Directory. Er jeg berørt?

A3: Dette sikkerhetsproblemet berører bare programmer som bruker bestemte versjoner av .NET ADAL ved bestemte betingelser. Dette problemet påvirker ikke Azure Active Directory-tjenesten eller Microsoft eller Azure infrastruktur.

Oppdateringsinformasjon

Utviklere som bruker .NET ADAL må laste ned den nyeste versjonen av ADAL .NET og deretter oppdatere programmene sine. De tekniske detaljene er publisert i vårGitHub oppbevaringssted.

Status
Microsoft har bekreftet at dette er et problem i ADAL .NET-biblioteket.
Referanser
Lær mer om den terminologi som Microsoft bruker for å beskrive programvareoppdateringer.

Advarsel: Denne artikkelen er autooversatt

Egenskaper

Artikkel-ID: 3190237 – Forrige gjennomgang: 09/08/2016 12:05:00 – Revisjon: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3190237 KbMtno
Tilbakemelding