Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Sumário

Há uma vulnerabilidade na elevação de privilégio pela qual a biblioteca Passport do Azure Active Directory (Passport-Azure-AD para Node.js) valida de forma incorreta tokens de ID.

Um invasor que explore essa vulnerabilidade com sucesso poderia desviar-se da autenticação do Azure Active Directory para acessar um aplicativo Web no host de destino. Para explorar essa vulnerabilidade, o invasor teria que enviar um token especialmente desenvolvido para tal fim ao aplicativo Web de destino que apresentasse a declaração de identidade de um usuário válido. Essa atualização trata da vulnerabilidade mencionada ao corrigir como os tokens de ID são validados quando as estratégias Passport utilizam o Azure Active Directory.

Perguntas frequentes sobre esta vulnerabilidade

P1: Eu uso o Azure Active Directory. Fui afetado?

R1: Essa vulnerabilidade afeta apenas aplicativos Web que usam a biblioteca Passport-Azure-AD para Node.js a fim de empregar o Azure AD para autenticação. Autenticações padrão do Azure AD que não utilizam a biblioteca do Passport-Azure-AD para Node.js não foram afetadas. A vulnerabilidade existe em aplicativos Web que usam versões ultrapassadas da biblioteca do Passport-Azure-AD para Node.js.

P2: O que é o Passport-Azure-AD para Node.js?

R2: O Passport-Azure-AD para Node.js é um conjunto de estratégias Passport que ajudam na integração de seus nós de aplicativos com o Azure Active Directory. Ele inclui autenticação e autorização por OpenID Connect, WS-Federation e SAML-P Esses fornecedores permitem o uso de diversos recursos do Passport-Azure-AD para Node.js, inclusive logon único da Web (web single sign-on ou WebSSO, do inglês) e emissão e validação de token JWT.

Informações da atualização

Os desenvolvedores que utilizam a biblioteca Passport do Azure Active Directory devem fazer o download da versão mais recente do Passport-Azure-AD para Node.js e, em seguida, atualizar os aplicativos. Os detalhes técnicos estão publicados em nosso repositório GitHub.

Os desenvolvedores que utilizam a versão 1.x devem fazer a atualização para a versão 1.4.6.

Os desenvolvedores que utilizam a versão 2.0 devem fazer a atualização para a versão 2.0.1.

Situação

A Microsoft confirmou que este é um problema da biblioteca do Passport-Azure-AD para Node.js.

Referências

Número da CVE: 2016-7191

Saiba mais sobre a terminologia que a Microsoft usa para descrever atualizações de software.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×