Samenvatting
Misbruik van bevoegdheden bestaat wanneer de Azure Active Directory Passport-bibliotheek (Passport-Azure-AD voor Node.js) ID tokens niet correct valideert.
Een aanvaller die misbruik maakt van dit beveiligingslek kan een webtoepassing gerichte host Azure Active Directory-verificatie overslaan. Dit beveiligingslek wil misbruiken, moet een aanvaller een speciaal ontworpen token verzenden naar de doeltoepassing web met een geldige gebruiker identiteitsclaims. Deze update dicht het beveiligingslek door hoe ID tokens worden gevalideerd wanneer Passport strategieën profiteren van Azure Active Directory te.
Veelgestelde vragen over dit beveiligingslek
Q1: ik gebruik Azure Active Directory. Heb?
A1: Dit beveiligingslek is alleen van invloed op toepassingen die gebruikmaken van de Passport-Azure-advertentie voor Node.js bibliotheek om te profiteren van Azure AD voor verificatie. Standaard Azure AD verificatie die geen van de Passport-Azure-advertentie voor Node.js bibliotheek gebruikmaakt wordt niet beïnvloed. Er bestaat een beveiligingslek in de webtoepassingen die verouderde versies van de Passport-Azure-advertentie voor Node.js bibliotheek gebruiken.
Q2: Wat is Passport Azure AD voor Node.js?
A2: Passport Azure AD voor Node.js is een collectie van Passport strategieën die u helpen uw knooppunt toepassingen integreren met Azure Active Directory. Bevat OpenID verbinden, WS-Federation en SAML-P-verificatie en machtiging. Deze providers kunnen u de vele functies van Passport-Azure-advertentie voor Node.js, met inbegrip van web eenmalige aanmelding (WebSSO), Endpoint Protection met OAuth, en de JWT token issuance en de validatie.
Update-informatie
Ontwikkelaars die gebruikmaken van de bibliotheek Passport Azure AD Node.js moeten downloaden van de meest recente versie van de Passport-Azure-advertentie voor Node.js bibliotheek en vervolgens hun toepassingen bijwerken. De technische details worden uitgegeven in onze opslagplaats GitHub.
Ontwikkelaars die gebruikmaken van versie 1. x moet bijwerken naar versie 1.4.6.
Ontwikkelaars die gebruikmaken van versie 2.0 moeten naar versie 2.0.1 bijwerken.
Status
Microsoft heeft bevestigd dat dit een probleem in de Passport-Azure-advertentie voor de bibliotheek Node.js is.
Referenties
CVE-nummer: 2016 7191
Meer informatie over de terminologie die door Microsoft wordt gebruikt om softwareupdates te beschrijven.