Applies ToAzure Active Directory

Sumário

Uma vulnerabilidade de elevação de privilégios existe quando a biblioteca de Azure Active Directory Passport (Passport-Azure-AD para Node.js) incorrectamente valida tokens de ID.Um intruso que explore com êxito esta vulnerabilidade poderia ignorar a autenticação do Active Directory Azure a uma aplicação web do anfitrião de destino. Para explorar esta vulnerabilidade, um intruso teria de enviar um token especialmente concebido para a aplicação de web de destino que contém as afirmações de identidade de um utilizador válido. Esta actualização resolve a vulnerabilidade corrigindo como são validados os tokens de ID quando estratégias de Passport tiram partido do Azure Active Directory.

Perguntas mais frequentes sobre esta vulnerabilidade

Q1: Utilizar Azure Active Directory. Sou afectado?A1: Esta vulnerabilidade só afecta aplicações web que utilizem o Passport-Azure-AD para biblioteca de Node.js para tirar partido das Azure AD para autenticação. Padrão autenticação de Azure AD que não utilize o Passport-Azure-AD para biblioteca de Node.js não é afectada. A vulnerabilidade existe em aplicações web que utilizem versões desactualizadas do Passport-Azure-AD para biblioteca de Node.js.Q2: o que é o Passport-Azure-AD para Node.js?A2: Passport-Azure-AD para Node.js é uma colecção de estratégias de Passport que o ajudam a integrar as aplicações do nó do Active Directory Azure. Inclui OpenID ligar, WS-Federation e a autenticação de SAML-P e a autorização. Estes fornecedores permitem-lhe utilizar várias funcionalidades de Passport-Azure-AD para Node.js, incluindo web serviço single sign-on (WebSSO), protecção de ponto final com OAuth e a emissão de tokens de JWT e a validação.

Informações sobre a atualização

Os programadores que utilizam a biblioteca de Passport Azure AD Node.js tem de transferir a versão mais recente do Passport-Azure-AD para biblioteca de Node.js e, em seguida, actualizar as respectivas aplicações. Os detalhes técnicos são publicados no nosso repositório de GitHub.Programadores que utilizam a versão 1. x tem de actualizar a versão 1.4.6.Os programadores que utilizam a versão 2.0 tem de actualizar a versão 2.0.1.

Estado

A Microsoft confirmou que este é um problema no Passport-Azure-AD para biblioteca de Node.js.

Referências

Número CVE: 7191 de 2016Obter informações sobre a terminologia utilizada pela Microsoft para descrever actualizações de software.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders