Aktualizacja zabezpieczeń dla usługi Passport AD Azure Node.js biblioteki

WAŻNE: Ten artykuł został przetłumaczony przy użyciu oprogramowania firmy Microsoft do tłumaczenia maszynowego i może być poprawiony przy użyciu technologii Community Translation Framework (CTF). Firma Microsoft udostępnia artykuły tłumaczone maszynowo, poprawione przez społeczność, a także tłumaczone przez tłumaczy profesjonalnych, aby zapewnić dostęp do wszystkich artykułów w bazie wiedzy w wielu językach. Artykuły tłumaczone maszynowo i poprawione mogą zawierać błędy pisowni, składniowe i gramatyczne. Firma Microsoft nie ponosi odpowiedzialności za żadne nieścisłości, błędy ani szkody spowodowane przez niepoprawne tłumaczenia zawartości ani przez korzystanie z niej przez klientów. Więcej o strukturze CTF: http://support.microsoft.com/gp/machine-translation-corrections/pl.

Anglojęzyczna wersja tego artykułu to: 3187742
Streszczenie
Luka umożliwiająca podniesienie uprawnień występuje po bibliotece Azure Active Directory w usłudze Passport (paszport-Azure-AD dla Node.js) niepoprawnie sprawdza tokeny identyfikator.

Osoba atakująca, która pomyślnie wykorzysta tę usterkę, może ominąć Azure Active Directory uwierzytelniania aplikacji sieci web programu host docelowy. Aby wykorzystać tę usterkę, osoba atakująca musi wysłać specjalnie spreparowane token do docelowej aplikacji sieci web, zawierający oświadczenia tożsamości prawidłowym użytkownikiem. Ta aktualizacja usuwa lukę w zabezpieczeniach, modyfikując poprawności tokenów identyfikator podczas strategie paszport wykorzystać Azure usługi Active Directory.

Często zadawane pytania dotyczące tej usterki

Q1: korzystam z usługi Active Directory Azure. Jest dla mnie zagrożeniem?

A1: Luka ta dotyczy tylko aplikacje sieci web korzystające z usługi Passport AD Azure dla biblioteki Node.js skorzystać Azure AD do uwierzytelniania. Standard nie dotyczy uwierzytelniania Azure AD, który nie używa AD Azure usługi Passport dla biblioteki Node.js. Usterka ta występuje w aplikacjach sieci web, które korzystają nieaktualne wersje AD Azure usługi Passport dla biblioteki Node.js.

Q2: Co jest paszport Azure AD dla Node.js?

A2: Paszport Azure AD dla Node.js jest zbiór paszport strategie, które pomagają Ci integrować aplikacje węzła z usługą Active Directory. Zawiera on połączyć OpenID, WS-Federation i SAML P uwierzytelniania i autoryzacji. Takich dostawców pozwalają używać wielu funkcji usługi Passport Azure AD dla Node.js, łącznie z sieci web rejestracji jednokrotnej (WebSSO), Endpoint Protection z OAuth i wystawiania tokenu JWT i sprawdzania poprawności.

Informacje o aktualizacji

Deweloperzy, którzy używają biblioteki usługi Passport Azure AD Node.js należy pobrać najnowszą wersję usługi Passport AD Azure Node.js biblioteki, a następnie zaktualizuj swoje wnioski. Szczegóły techniczne są publikowane w naszym Repozytorium GitHub.

Deweloperzy, którzy korzystają z wersji 1.X należy zaktualizować do wersji 1.4.6.

Deweloperzy, którzy korzystają z wersji 2.0 należy zaktualizować do wersji 2.0.1.

Stan
Firma Microsoft potwierdziła, że jest to problem występujący w paszporcie AD Azure dla biblioteki Node.js.
Materiały referencyjne
Numer CVE: 2016 7191

Dowiedz się więcej o terminologia używaną przez firmę Microsoft do opisywania aktualizacji oprogramowania.

Właściwości

Identyfikator artykułu: 3187742 — ostatni przegląd: 10/01/2016 00:25:00 — zmiana: 4.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3187742 KbMtpl
Opinia