Sumário
Há uma vulnerabilidade na elevação de privilégio pela qual a biblioteca Passport do Azure Active Directory (Passport-Azure-AD para Node.js) valida de forma incorreta tokens de ID.
Um invasor que explore essa vulnerabilidade com sucesso poderia desviar-se da autenticação do Azure Active Directory para acessar um aplicativo Web no host de destino. Para explorar essa vulnerabilidade, o invasor teria que enviar um token especialmente desenvolvido para tal fim ao aplicativo Web de destino que apresentasse a declaração de identidade de um usuário válido. Essa atualização trata da vulnerabilidade mencionada ao corrigir como os tokens de ID são validados quando as estratégias Passport utilizam o Azure Active Directory.
Perguntas frequentes sobre esta vulnerabilidade
P1: Eu uso o Azure Active Directory. Fui afetado?
R1: Essa vulnerabilidade afeta apenas aplicativos Web que usam a biblioteca Passport-Azure-AD para Node.js a fim de empregar o Azure AD para autenticação. Autenticações padrão do Azure AD que não utilizam a biblioteca do Passport-Azure-AD para Node.js não foram afetadas. A vulnerabilidade existe em aplicativos Web que usam versões ultrapassadas da biblioteca do Passport-Azure-AD para Node.js.
P2: O que é o Passport-Azure-AD para Node.js?
R2: O Passport-Azure-AD para Node.js é um conjunto de estratégias Passport que ajudam na integração de seus nós de aplicativos com o Azure Active Directory. Ele inclui autenticação e autorização por OpenID Connect, WS-Federation e SAML-P Esses fornecedores permitem o uso de diversos recursos do Passport-Azure-AD para Node.js, inclusive logon único da Web (web single sign-on ou WebSSO, do inglês) e emissão e validação de token JWT.
Informações da atualização
Os desenvolvedores que utilizam a biblioteca Passport do Azure Active Directory devem fazer o download da versão mais recente do Passport-Azure-AD para Node.js e, em seguida, atualizar os aplicativos. Os detalhes técnicos estão publicados em nosso repositório GitHub.
Os desenvolvedores que utilizam a versão 1.x devem fazer a atualização para a versão 1.4.6.
Os desenvolvedores que utilizam a versão 2.0 devem fazer a atualização para a versão 2.0.1.
Situação
A Microsoft confirmou que este é um problema da biblioteca do Passport-Azure-AD para Node.js.
Referências
Número da CVE: 2016-7191
Saiba mais sobre a terminologia que a Microsoft usa para descrever atualizações de software.