Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Sumário

Uma vulnerabilidade de elevação de privilégios existe quando a biblioteca de Azure Active Directory Passport (Passport-Azure-AD para Node.js) incorrectamente valida tokens de ID.

Um intruso que explore com êxito esta vulnerabilidade poderia ignorar a autenticação do Active Directory Azure a uma aplicação web do anfitrião de destino. Para explorar esta vulnerabilidade, um intruso teria de enviar um token especialmente concebido para a aplicação de web de destino que contém as afirmações de identidade de um utilizador válido. Esta actualização resolve a vulnerabilidade corrigindo como são validados os tokens de ID quando estratégias de Passport tiram partido do Azure Active Directory.

Perguntas mais frequentes sobre esta vulnerabilidade

Q1: Utilizar Azure Active Directory. Sou afectado?

A1: Esta vulnerabilidade só afecta aplicações web que utilizem o Passport-Azure-AD para biblioteca de Node.js para tirar partido das Azure AD para autenticação. Padrão autenticação de Azure AD que não utilize o Passport-Azure-AD para biblioteca de Node.js não é afectada. A vulnerabilidade existe em aplicações web que utilizem versões desactualizadas do Passport-Azure-AD para biblioteca de Node.js.

Q2: o que é o Passport-Azure-AD para Node.js?

A2: Passport-Azure-AD para Node.js é uma colecção de estratégias de Passport que o ajudam a integrar as aplicações do nó do Active Directory Azure. Inclui OpenID ligar, WS-Federation e a autenticação de SAML-P e a autorização. Estes fornecedores permitem-lhe utilizar várias funcionalidades de Passport-Azure-AD para Node.js, incluindo web serviço single sign-on (WebSSO), protecção de ponto final com OAuth e a emissão de tokens de JWT e a validação.

Informações sobre a atualização

Os programadores que utilizam a biblioteca de Passport Azure AD Node.js tem de transferir a versão mais recente do Passport-Azure-AD para biblioteca de Node.js e, em seguida, actualizar as respectivas aplicações. Os detalhes técnicos são publicados no nosso repositório de GitHub.

Programadores que utilizam a versão 1. x tem de actualizar a versão 1.4.6.

Os programadores que utilizam a versão 2.0 tem de actualizar a versão 2.0.1.

Estado

A Microsoft confirmou que este é um problema no Passport-Azure-AD para biblioteca de Node.js.

Referências

Número CVE: 7191 de 2016

Obter informações sobre a terminologia utilizada pela Microsoft para descrever actualizações de software.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×