Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Streszczenie

Luka umożliwiająca podniesienie uprawnień występuje po bibliotece Azure Active Directory w usłudze Passport (paszport-Azure-AD dla Node.js) niepoprawnie sprawdza tokeny identyfikator.

Osoba atakująca, która pomyślnie wykorzysta tę usterkę, może ominąć Azure Active Directory uwierzytelniania aplikacji sieci web programu host docelowy. Aby wykorzystać tę usterkę, osoba atakująca musi wysłać specjalnie spreparowane token do docelowej aplikacji sieci web, zawierający oświadczenia tożsamości prawidłowym użytkownikiem. Ta aktualizacja usuwa lukę w zabezpieczeniach, modyfikując poprawności tokenów identyfikator podczas strategie paszport wykorzystać Azure usługi Active Directory.

Często zadawane pytania dotyczące tej usterki

Q1: korzystam z usługi Active Directory Azure. Jest dla mnie zagrożeniem?

A1: Luka ta dotyczy tylko aplikacje sieci web korzystające z usługi Passport AD Azure dla biblioteki Node.js skorzystać Azure AD do uwierzytelniania. Standard nie dotyczy uwierzytelniania Azure AD, który nie używa AD Azure usługi Passport dla biblioteki Node.js. Usterka ta występuje w aplikacjach sieci web, które korzystają nieaktualne wersje AD Azure usługi Passport dla biblioteki Node.js.

Q2: Co jest paszport Azure AD dla Node.js?

A2: Paszport Azure AD dla Node.js jest zbiór paszport strategie, które pomagają Ci integrować aplikacje węzła z usługą Active Directory. Zawiera on połączyć OpenID, WS-Federation i SAML P uwierzytelniania i autoryzacji. Takich dostawców pozwalają używać wielu funkcji usługi Passport Azure AD dla Node.js, łącznie z sieci web rejestracji jednokrotnej (WebSSO), Endpoint Protection z OAuth i wystawiania tokenu JWT i sprawdzania poprawności.

Informacje o aktualizacji

Deweloperzy, którzy używają biblioteki usługi Passport Azure AD Node.js należy pobrać najnowszą wersję usługi Passport AD Azure Node.js biblioteki, a następnie zaktualizuj swoje wnioski. Szczegóły techniczne są publikowane w naszym repozytorium GitHub.

Deweloperzy, którzy korzystają z wersji 1. x , należy zaktualizować do wersji 1.4.6.

Deweloperzy, którzy korzystają z wersji 2.0 należy zaktualizować do wersji 2.0.1.

Stan

Firma Microsoft potwierdziła, że jest to problem występujący w paszporcie AD Azure dla biblioteki Node.js.

Powiązane artykuły

Numer CVE: 2016 7191

Więcej informacji na temat terminologii stosowanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×