Momentan sunteți offline, așteptați să vă reconectați la internet

Atualização de segurança para a biblioteca ADAL .NET

Sumário
Existe uma vulnerabilidade de elevação de privilégio na ADAL .NET (Biblioteca de Autenticação do Active Directory para .NET) em cenários de problemas específicos.

Um invasor que explora com êxito essa vulnerabilidade pode receber um token que concede privilégio mais elevado do que deveria ser concedido para um aplicativo.

O problema ocorre em cenários que incluem o fluxo de protocolo Em Nome de e casos de uso específicos em que ClientAssertion/ClientAssertionCertificate/ClientCredential e UserAssertion são passados para a API AcquireToken*.

Perguntas frequentes sobre esta vulnerabilidade

P1: O que é a Biblioteca de Autenticação do Active Directory para .NET?

R1: A ADAL (Biblioteca de Autenticação do Active Directory) para .NET fornece funcionalidade de autenticação fácil de usar para clientes .NET e aplicativos da Windows Store.

P2: Quais versões da ADAL .NET (Biblioteca de Autenticação do Active Directory para .NET) são afetadas?

R2: Há dois problemas com comportamento diferente que ocorrem em versões diferentes da ADAL. Essas versões são as seguintes:

  • ADAL versões 2.0.x a 2.21.x inclusive e ADAL versões 3.0.x a 3.5.x inclusive.
  • ADAL versões 2.25.x a 2.27.x inclusive e ADAL versões 3.10.x a 3.11.x inclusive.

P3: Uso o Azure Active Directory. Sou afetado?

R3: Essa vulnerabilidade afeta somente aplicativos que usam versões específicas da ADAL .NET, em condições específicas. O problema não afeta o serviço Azure AD nem a infraestrutura da Microsoft ou do Azure.

Informações de atualização

Os desenvolvedores que usam a ADAL .NET devem baixar a última versão da ADAL .NET e, em seguida, atualizar seus aplicativos. Os detalhes técnicos estão publicados em nosso repositório GitHub.

Situação
A Microsoft confirmou que é um problema na biblioteca ADAL .NET.
Referências
Saiba mais sobre a terminologia que a Microsoft usa para descrever atualizações de software.
Proprietăți

ID articol: 3190237 - Ultima examinare: 09/08/2016 13:03:00 - Revizie: 3.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload KB3190237
Feedback