Beveiligingsupdate voor de Passport-Azure-advertentie voor Node.js bibliotheek

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 3187742
Samenvatting
Misbruik van bevoegdheden bestaat wanneer de Azure Active Directory Passport-bibliotheek (Passport-Azure-AD voor Node.js) ID tokens niet correct valideert.

Een aanvaller die misbruik maakt van dit beveiligingslek kan een webtoepassing gerichte host Azure Active Directory-verificatie overslaan. Dit beveiligingslek wil misbruiken, moet een aanvaller een speciaal ontworpen token verzenden naar de doeltoepassing web met een geldige gebruiker identiteitsclaims. Deze update dicht het beveiligingslek door hoe ID tokens worden gevalideerd wanneer Passport strategieën profiteren van Azure Active Directory te.

Veelgestelde vragen over dit beveiligingslek

Q1: ik gebruik Azure Active Directory. Heb?

A1: Dit beveiligingslek is alleen van invloed op toepassingen die gebruikmaken van de Passport-Azure-advertentie voor Node.js bibliotheek om te profiteren van Azure AD voor verificatie. Standaard Azure AD verificatie die geen van de Passport-Azure-advertentie voor Node.js bibliotheek gebruikmaakt wordt niet beïnvloed. Er bestaat een beveiligingslek in de webtoepassingen die verouderde versies van de Passport-Azure-advertentie voor Node.js bibliotheek gebruiken.

Q2: Wat is Passport Azure AD voor Node.js?

A2: Passport Azure AD voor Node.js is een collectie van Passport strategieën die u helpen uw knooppunt toepassingen integreren met Azure Active Directory. Bevat OpenID verbinden, WS-Federation en SAML-P-verificatie en machtiging. Deze providers kunnen u de vele functies van Passport-Azure-advertentie voor Node.js, met inbegrip van web eenmalige aanmelding (WebSSO), Endpoint Protection met OAuth, en de JWT token issuance en de validatie.

Update-informatie

Ontwikkelaars die gebruikmaken van de bibliotheek Passport Azure AD Node.js moeten downloaden van de meest recente versie van de Passport-Azure-advertentie voor Node.js bibliotheek en vervolgens hun toepassingen bijwerken. De technische details worden gepubliceerd in onze GitHub opslagplaats.

Ontwikkelaars die gebruikmaken van versie 1.x moet bijwerken naar versie 1.4.6.

Ontwikkelaars die gebruikmaken van versie 2.0 moeten naar versie 2.0.1 bijwerken.

Status
Microsoft heeft bevestigd dat dit een probleem in de Passport-Azure-advertentie voor de bibliotheek Node.js is.
Referenties
CVE-nummer: 2016 7191

Meer informatie over de terminologie die door Microsoft wordt gebruikt om software-updates te beschrijven.

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 3187742 - Laatst bijgewerkt: 10/01/2016 00:25:00 - Revisie: 4.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3187742 KbMtnl
Feedback