Обзор
Уязвимость существует при библиотеке Azure Active Directory Passport (паспорта-Azure-AD для Node.js) неправильно проверяет маркеров безопасности.
Успешно воспользовавшись этой уязвимостью, злоумышленник может обойти проверку подлинности Azure Active Directory целевой узел веб-приложения. Чтобы воспользоваться этой уязвимостью, злоумышленник должен отправить специально созданный маркер для конечного веб-приложения, который содержит идентификационные утверждения является допустимым пользователем. Это обновление устраняет уязвимость, исправляя способ проверки маркеров безопасности при стратегии паспорта воспользоваться преимуществами Azure Active Directory.
Часто задаваемые вопросы об уязвимости
Q1: При использовании Azure Active Directory. Меня влияет?
A1: Этой уязвимости подвержены только веб-приложений, позволяют воспользоваться преимуществами Azure AD для проверки подлинности паспорта-Azure-AD для библиотеки Node.js. Стандартной проверки подлинности Azure AD, который не использует библиотеки Node.js Passport-Azure-AD не влияет. Уязвимость в веб-приложениях, использующих устаревших версий Passport-Azure-AD для библиотеки Node.js.
Q2: Что такое паспорта-Azure-AD для Node.js?
A2: Passport-Azure-AD для Node.js-это коллекция паспорта стратегии, которые помогут вам интегрировать приложения узла с Azure Active Directory. Он включает подключение OpenID, WS-Federation и SAML-P проверки подлинности и авторизации. Эти поставщики позволяют использовать многие возможности паспорта Azure AD для Node.js, включая веб-единого входа (WebSSO), Endpoint Protection с OAuth, а JWT маркера и проверки.
Сведения об обновлении
Разработчики, использующие библиотеку паспорта Azure AD Node.js необходимо загрузить последнюю версию Passport-Azure-AD для библиотеки Node.js и затем обновить свои приложения. Технические сведения публикуются в нашем хранилище GitHub.
Разработчики, использующие версии 1. x , необходимо обновить до версии 1.4.6.
Разработчики, использующие версии 2.0 необходимо обновить до версии 2.0.1.
Статус
Корпорация Майкрософт подтверждает, что это является проблемой в службе Passport-Azure-AD для библиотеки Node.js.
Ссылки
Номер CVE: 2016 7191
Дополнительные сведения о терминологии , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.