Streszczenie
Luka umożliwiająca podniesienie uprawnień występuje po bibliotece Azure Active Directory w usłudze Passport (paszport-Azure-AD dla Node.js) niepoprawnie sprawdza tokeny identyfikator.
Osoba atakująca, która pomyślnie wykorzysta tę usterkę, może ominąć Azure Active Directory uwierzytelniania aplikacji sieci web programu host docelowy. Aby wykorzystać tę usterkę, osoba atakująca musi wysłać specjalnie spreparowane token do docelowej aplikacji sieci web, zawierający oświadczenia tożsamości prawidłowym użytkownikiem. Ta aktualizacja usuwa lukę w zabezpieczeniach, modyfikując poprawności tokenów identyfikator podczas strategie paszport wykorzystać Azure usługi Active Directory.
Często zadawane pytania dotyczące tej usterki
Q1: korzystam z usługi Active Directory Azure. Jest dla mnie zagrożeniem?
A1: Luka ta dotyczy tylko aplikacje sieci web korzystające z usługi Passport AD Azure dla biblioteki Node.js skorzystać Azure AD do uwierzytelniania. Standard nie dotyczy uwierzytelniania Azure AD, który nie używa AD Azure usługi Passport dla biblioteki Node.js. Usterka ta występuje w aplikacjach sieci web, które korzystają nieaktualne wersje AD Azure usługi Passport dla biblioteki Node.js.
Q2: Co jest paszport Azure AD dla Node.js?
A2: Paszport Azure AD dla Node.js jest zbiór paszport strategie, które pomagają Ci integrować aplikacje węzła z usługą Active Directory. Zawiera on połączyć OpenID, WS-Federation i SAML P uwierzytelniania i autoryzacji. Takich dostawców pozwalają używać wielu funkcji usługi Passport Azure AD dla Node.js, łącznie z sieci web rejestracji jednokrotnej (WebSSO), Endpoint Protection z OAuth i wystawiania tokenu JWT i sprawdzania poprawności.
Informacje o aktualizacji
Deweloperzy, którzy używają biblioteki usługi Passport Azure AD Node.js należy pobrać najnowszą wersję usługi Passport AD Azure Node.js biblioteki, a następnie zaktualizuj swoje wnioski. Szczegóły techniczne są publikowane w naszym repozytorium GitHub.
Deweloperzy, którzy korzystają z wersji 1. x , należy zaktualizować do wersji 1.4.6.
Deweloperzy, którzy korzystają z wersji 2.0 należy zaktualizować do wersji 2.0.1.
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w paszporcie AD Azure dla biblioteki Node.js.
Powiązane artykuły
Numer CVE: 2016 7191
Więcej informacji na temat terminologii stosowanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.