Sammendrag
Det finnes et sikkerhetsproblem som kan forårsake rettighetsutvidelse når Azure Active Directory Passport-biblioteket (Passport-Azure-AD for Node.js) på feil måte validerer ID-tokener.
En angriper som klarer å utnytte dette sikkerhetsproblemet kan omgå Azure Active Directory-godkjenning til en bestemt vert web-applikasjon. For å utnytte dette sikkerhetsproblemet, må en angriper sende en spesiallaget kode til mål-web-applikasjonen som inneholder en gyldig bruker identitetskrav. Denne oppdateringen løser sikkerhetsproblemet ved å rette opp hvordan ID-tokener validert når Passport strategier dra nytte av Azure Active Directory.
Vanlige spørsmål om dette sikkerhetsproblemet
Q1: jeg bruke Azure Active Directory. Er jeg berørt?
A1: Dette sikkerhetsproblemet berører bare webprogrammer som bruker Passport-Azure-Annonsen for Node.js-biblioteket til å dra nytte av Azure AD for godkjenning. Standard Azure AD-godkjenning som ikke bruker Passport-Azure-AD for Node.js-biblioteket er ikke berørt. Sikkerhetsproblem i web-applikasjoner som bruker gamle versjoner av Passport-Azure-AD for Node.js-biblioteket.
Q2: Hva er Passport-Azure-AD for Node.js?
A2: Passport-Azure-Annonse for Node.js er en samling av Passport-strategier som hjelper deg med å integrere node-programmer med Azure Active Directory. Det inkluderer OpenID koble, WS-føderasjonen og SAML-P-autentisering og autorisasjon. Disse leverandørene kan du bruke mange av funksjonene i Passport-Azure-AD for Node.js, inkludert web enkel pålogging (WebSSO), Endpoint Protection med OAuth, og JWT token utstedelse og validering.
Oppdatere informasjon
Utviklere som bruker Passport Azure AD Node.js-bibliotek må laste ned den nyeste versjonen av Passport-Azure-Annonsen for Node.js-biblioteket, og deretter oppdatere programmene sine. De tekniske detaljene er tilgjengelige i vår GitHub oppbevaringssted.
Utviklere som bruker versjon 1. x må oppdatere til versjon 1.4.6.
Utviklere som bruker versjon 2.0, må oppdatere til versjon 2.0.1.
Status
Microsoft har bekreftet at dette er et problem i Passport-Azure-Annonsen for Node.js-biblioteket.
Referanser
CVE-nummer: 2016-7191
Lær mer om terminologien som Microsoft bruker til å beskrive oppdateringer av programvare.