Actualização de segurança para a biblioteca de ADAL .NET

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3190237
Sumário
Existe uma vulnerabilidade de elevação de privilégio na biblioteca de autenticação do Active Directory para o .NET (ADAL .NET) em cenários de problema específico.

Um intruso que explore com êxito esta vulnerabilidade poderia receber um token de conceder o privilégio mais elevado do que deve ser concedida para uma aplicação.

Este problema ocorre em cenários em que incluem a casos de utilização específica deClientAssertionCertificate/ClientAssertion/ClientCredential e UserAssertion transmitido para o AcquireToken * API eem nome defluxo de protocolo.

Perguntas mais frequentes sobre esta vulnerabilidade

P1: O que é a biblioteca de autenticação do directório activo para o .NET?

A1: O Active Directory autenticação biblioteca (ADAL) para o .NET fornece a funcionalidade de fácil de utilizar autenticação para clientes do .NET e aplicações de arquivo do Windows.

P2: Quais as versões da biblioteca de autenticação do directório activo para o .NET (ADAL .NET) são afectadas?

A2: Existem dois issuesthat têm um comportamento diferente que ocorrem em versões diferentes de ADAL. Estas versões são os seguintes:

  • ADAL versão 2.0.x a 2.21.x ADAL e inclusive versões 3.0.x a 3.5.x inclusive.
  • Versões ADAL 2.25.x para 2.27.x versões ADAL e inclusive 3.10.x para 3.11.x inclusive.

Q3: Utilizar Azure Active Directory. Sou afectado?

A3: Esta vulnerabilidade afecta apenas as aplicações que utilizam versões específicas do .NET ADAL em condições específicas. Este problema não afecta o serviço do Active Directory Azure ou Microsoft ou infra-estrutura Azure.

Informações sobre a atualização

Os programadores que utilizam o ADAL .NET tem de transferir a versão mais recente do ADAL .NET e, em seguida, actualizar as respectivas aplicações. Os detalhes técnicos são publicados no nossoRepositório de GitHub.

Ponto Da Situação
A Microsoft confirmou que este é um problema na biblioteca do ADAL .NET.
Referências
Obter informações sobre o terminologia que a Microsoft utiliza para descrever atualizações de software.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3190237 - Última Revisão: 09/08/2016 12:55:00 - Revisão: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3190237 KbMtpt
Comentários