Você está offline; aguardando reconexão

Atualização de segurança para a biblioteca Passport-Azure-AD para Node.js

Sumário
Há uma vulnerabilidade na elevação de privilégio pela qual a biblioteca Passport do Azure Active Directory (Passport-Azure-AD para Node.js) valida de forma incorreta tokens de ID.

Um invasor que explore essa vulnerabilidade com sucesso poderia desviar-se da autenticação do Azure Active Directory para acessar um aplicativo Web no host de destino. Para explorar essa vulnerabilidade, o invasor teria que enviar um token especialmente desenvolvido para tal fim ao aplicativo Web de destino que apresentasse a declaração de identidade de um usuário válido. Essa atualização trata da vulnerabilidade mencionada ao corrigir como os tokens de ID são validados quando as estratégias Passport utilizam o Azure Active Directory.

Perguntas frequentes sobre esta vulnerabilidade

P1: Eu uso o Azure Active Directory. Fui afetado?

R1: Essa vulnerabilidade afeta apenas aplicativos Web que usam a biblioteca Passport-Azure-AD para Node.js a fim de empregar o Azure AD para autenticação. Autenticações padrão do Azure AD que não utilizam a biblioteca do Passport-Azure-AD para Node.js não foram afetadas. A vulnerabilidade existe em aplicativos Web que usam versões ultrapassadas da biblioteca do Passport-Azure-AD para Node.js.

P2: O que é o Passport-Azure-AD para Node.js?

R2: O Passport-Azure-AD para Node.js é um conjunto de estratégias Passport que ajudam na integração de seus nós de aplicativos com o Azure Active Directory. Ele inclui autenticação e autorização por OpenID Connect, WS-Federation e SAML-P Esses fornecedores permitem o uso de diversos recursos do Passport-Azure-AD para Node.js, inclusive logon único da Web (web single sign-on ou WebSSO, do inglês) e emissão e validação de token JWT.

Informações da atualização

Os desenvolvedores que utilizam a biblioteca Passport do Azure Active Directory devem fazer o download da versão mais recente do Passport-Azure-AD para Node.js e, em seguida, atualizar os aplicativos. Os detalhes técnicos estão publicados em nosso repositório GitHub.

Os desenvolvedores que utilizam a versão 1.x devem fazer a atualização para a versão 1.4.6.

Os desenvolvedores que utilizam a versão 2.0 devem fazer a atualização para a versão 2.0.1.

Situação
A Microsoft confirmou que este é um problema da biblioteca do Passport-Azure-AD para Node.js.
Referências
Saiba mais sobre a terminologia que a Microsoft usa para descrever atualizações de software.
Propriedades

ID do Artigo: 3187742 - Última Revisão: 08/26/2016 11:49:00 - Revisão: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload KB3187742
Comentários
dy>