Aktualizacja zabezpieczeń dla biblioteki ADAL .NET

WAŻNE: Ten artykuł został przetłumaczony przy użyciu oprogramowania firmy Microsoft do tłumaczenia maszynowego i może być poprawiony przy użyciu technologii Community Translation Framework (CTF). Firma Microsoft udostępnia artykuły tłumaczone maszynowo, poprawione przez społeczność, a także tłumaczone przez tłumaczy profesjonalnych, aby zapewnić dostęp do wszystkich artykułów w bazie wiedzy w wielu językach. Artykuły tłumaczone maszynowo i poprawione mogą zawierać błędy pisowni, składniowe i gramatyczne. Firma Microsoft nie ponosi odpowiedzialności za żadne nieścisłości, błędy ani szkody spowodowane przez niepoprawne tłumaczenia zawartości ani przez korzystanie z niej przez klientów. Więcej o strukturze CTF: http://support.microsoft.com/gp/machine-translation-corrections/pl.

Anglojęzyczna wersja tego artykułu to: 3190237
Streszczenie
Luka umożliwiająca podniesienie uprawnień istnieje w biblioteki uwierzytelniania usługi Active Directory dla platformy .NET (ADAL .NET) w scenariuszach określonego problemu.

Osoba atakująca, która pomyślnie wykorzysta tę lukę może otrzymać token przyznawanie uprawnień wyższy niż powinno zostać udzielone na wniosek.

Ten problem występuje w scenariuszach, które obejmująw imieniuprzepływu protokołu i przypadkami użycia określonegoClientAssertion/ClientAssertionCertificate/ClientCredential i UserAssertion są przekazywane do AcquireToken * interfejsu API.

Często zadawane pytania dotyczące tej usterki

Q1: Co to jest biblioteki uwierzytelniania usługi Active Directory dla platformy .NET?

A1: Active Directory uwierzytelnianie biblioteki (ADAL) dla platformy .NET zapewnia funkcje uwierzytelniania łatwy w obsłudze klientów .NET i aplikacje Sklepu Windows.

Q2: Które wersje biblioteki uwierzytelniania usługi Active Directory dla platformy .NET (ADAL .NET) są zagrożone?

A2: Istnieją dwa issuesthat mają różne zachowanie, które występują w różnych wersjach ADAL. Te wersje są w następujący sposób:

  • ADAL w wersji 2.0.X Aby 2.21.X włącznie i ADAL wersje 3.0.X 3.5.X włącznie.
  • ADAL wersje 2,25.X do 2.27.X włącznie i ADAL wersji 3.10.X do ppkt 3.11.X włącznie.

Q3: korzystam z usługi Active Directory Azure. Jest dla mnie zagrożeniem?

A3: Luka ta dotyczy tylko tych aplikacji, które używają określonych wersji .NET ADAL w specyficznych warunkach. Ten problem nie dotyczy usługa Azure Active Directory lub Microsoft lub Azure infrastruktury.

Informacje o aktualizacji

Deweloperzy, którzy używają ADAL .NET należy pobrać najnowszą wersję programu ADAL .NET, a następnie zaktualizuj swoje wnioski. Szczegóły techniczne są publikowane w naszymRepozytorium GitHub.

Stan
Firma Microsoft potwierdziła, że jest to problem w bibliotece ADAL .NET.
Materiały referencyjne
Dowiedz się więcej o terminologia używaną przez firmę Microsoft do opisywania aktualizacji oprogramowania.

Właściwości

Identyfikator artykułu: 3190237 — ostatni przegląd: 09/08/2016 12:54:00 — zmiana: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3190237 KbMtpl
Opinia