Beveiligingsupdate voor de bibliotheek ADAL .NET

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 3190237
Samenvatting
Misbruik van bevoegdheden bestaat in scenario's voor specifieke probleem in de bibliotheek voor verificatie van Active Directory voor .NET (ADAL .NET).

Een aanvaller die dit beveiligingslek weet te misbruiken, kan een hogere bevoegdheid, dan dient te worden verleend voor een toepassing verlenen token ontvangen.

Dit probleem doet zich voor in scenario's waarin de stroomnamenshet protocol en de specifieke gevallen vanClientAssertionCertificate-ClientAssertion/ClientCredential en UserAssertion worden doorgegeven aan de AcquireToken * API.

Veelgestelde vragen over dit beveiligingslek

Q1: Wat is Active Directory-verificatie Library for .NET?

A1: De Active Directory verificatie bibliotheek (ADAL) voor .NET biedt verificatie te gebruiken functionaliteit voor .NET clients en toepassingen voor Windows Store.

Q2: Welke versies van Active Directory-verificatie Library for .NET (ADAL .NET) gaat het?

A2: Er zijn twee issuesthat hebben een ander gedrag die optreden in verschillende versies van ADAL. Deze versies zijn als volgt:

  • ADAL versie 2.0.x tot en met 2.21.x inclusieve en ADAL versie 3.0.x tot 3,5.x inclusief.
  • ADAL versies 2,25.x naar 2.27.x inclusief ADAL versies en 3.10.x naar 3.11.x inclusief.

Q3: ik gebruik Azure Active Directory. Heb?

A3: Dit beveiligingslek tast alleen toepassingen met specifieke versies van .NET ADAL onder bepaalde voorwaarden. Dit probleem heeft geen invloed op de Azure Active Directory-service of de Microsoft of Azure-infrastructuur.

Update-informatie

Ontwikkelaars die gebruikmaken van .NET ADAL moeten de meest recente versie van .NET ADAL downloaden en vervolgens hun toepassingen bijwerken. De technische details worden gepubliceerd in onzeGitHub opslagplaats.

Status
Microsoft heeft bevestigd dat dit een probleem in de bibliotheek ADAL .NET is.
Referenties
Meer informatie over de terminologie die door Microsoft wordt gebruikt om software-updates te beschrijven.

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 3190237 - Laatst bijgewerkt: 09/08/2016 12:06:00 - Revisie: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3190237 KbMtnl
Feedback