Rezumat
O sporirea privilegiilor vulnerabilitate există când Biblioteca Azure Active Directory Passport (Passport-Azure AD pentru Node.js) validează incorect ID simboluri.
Un atacator care exploateaza cu succes acest element vulnerabil poate ocoli Azure Active Directory autentificarea la o aplicație web gazdă cu țintă. Pentru această vulnerabilitate de exploit, un atacator ar trebui să trimiteți un simbol special creat la aplicația web țintă care conține un utilizator valid cereri de identitate. Această actualizare rezolvă o vulnerabilitate corectând modul simboluri de ID sunt validate la Passport strategii a profita de Azure Active Directory.
Întrebări frecvente despre această vulnerabilitate
Q1: folosesc Azure Active Directory. Am sunt afectate?
A1: Această vulnerabilitate afectează numai aplicațiile web care utilizează Passport-Azure-AD pentru Node.js bibliotecă pentru a profita de Azure AD pentru autentificare. Standard Azure AD de autentificare care utilizează Passport Azure AD pentru bibliotecă Node.js nu este afectat. Vulnerabilitate există în aplicațiile web care utilizează versiuni învechite de Passport Azure AD pentru Node.js bibliotecă.
Q2: Ce este Passport-Azure-AD pentru Node.js?
A2: Passport-Azure-AD pentru Node.js este o colecție de Passport strategii care vă ajută să integrați aplicațiile nod cu Azure Active Directory. Acesta include OpenID Connect, WS-Federation și SAML-P autentificare și autorizare. Aceste furnizori vă permite să utilizați multe caracteristici ale Passport-Azure-AD pentru Node.js, inclusiv web sign-on unic (WebSSO), Endpoint Protection cu OAuth, și JWT simbolului emitere și validare.
Informaţii despre actualizare
Dezvoltatorii care utilizează biblioteca Passport Azure AD Node.js trebuie să descărcați cea mai recentă versiune a Passport-Azure-AD pentru bibliotecă Node.js, și apoi actualiza aplicațiile. Detalii tehnice sunt publicate în nostru GitHub depozitului.
Dezvoltatorii care utilizează versiunea 1. x trebuie să actualizați la versiunea 1.4.6.
Dezvoltatorii care utilizează versiunea 2.0, trebuie să actualizați la versiunea 2.0.1.
Stare
Microsoft a confirmat că aceasta este o problemă în Passport-Azure-AD pentru Node.js bibliotecă.
Referințe
Număr CVE: 2016 7191
Aflați despre terminologia utilizată de Microsoft pentru a descrie actualizările de software-ul.