В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Обновление безопасности для службы Passport-Azure-AD для библиотеки Node.js

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 3187742
Аннотация
Уязвимость существует при библиотеке Azure Active Directory Passport (паспорта-Azure-AD для Node.js) неправильно проверяет маркеров безопасности.

Успешно воспользовавшись этой уязвимостью, злоумышленник может обойти проверку подлинности Azure Active Directory целевой узел веб-приложения. Чтобы воспользоваться этой уязвимостью, злоумышленник должен отправить специально созданный маркер для конечного веб-приложения, который содержит идентификационные утверждения является допустимым пользователем. Это обновление устраняет уязвимость, исправляя способ проверки маркеров безопасности при стратегии паспорта воспользоваться преимуществами Azure Active Directory.

Часто задаваемые вопросы об уязвимости

Q1: При использовании Azure Active Directory. Меня влияет?

A1: Этой уязвимости подвержены только веб-приложений, позволяют воспользоваться преимуществами Azure AD для проверки подлинности паспорта-Azure-AD для библиотеки Node.js. Стандартной проверки подлинности Azure AD, который не использует библиотеки Node.js Passport-Azure-AD не влияет. Уязвимость в веб-приложениях, использующих устаревших версий Passport-Azure-AD для библиотеки Node.js.

Q2: Что такое паспорта-Azure-AD для Node.js?

A2: Passport-Azure-AD для Node.js-это коллекция паспорта стратегии, которые помогут вам интегрировать приложения узла с Azure Active Directory. Он включает подключение OpenID, WS-Federation и SAML-P проверки подлинности и авторизации. Эти поставщики позволяют использовать многие возможности паспорта Azure AD для Node.js, включая веб-единого входа (WebSSO), Endpoint Protection с OAuth, а JWT маркера и проверки.

Сведения об обновлении

Разработчики, использующие библиотеку паспорта Azure AD Node.js необходимо загрузить последнюю версию Passport-Azure-AD для библиотеки Node.js и затем обновить свои приложения. Технические сведения, опубликованные в нашей GitHub репозиторий.

Разработчики, использующие версии 1.x необходимо выполнить обновление до версии 1.4.6.

Разработчики, использующие версии 2.0 необходимо обновить до версии 2.0.1.

Статус
Корпорация Майкрософт подтверждает, что это является проблемой в службе Passport-Azure-AD для библиотеки Node.js.
Ссылки
Номер CVE: 2016 7191

Дополнительные сведения о Терминология , которые корпорация Майкрософт использует для описания обновлений программного обеспечения.

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 3187742 — последний просмотр: 10/01/2016 00:27:00 — редакция: 4.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3187742 KbMtru
Отзывы и предложения
t.createElement("meta"); m.content = guid; m.name = "ms.dqid"; document.getElementsByTagName("head")[0].appendChild(m);