Súhrn
Eleváciu nedostatočného zabezpečenia privilégií existuje pri knižnici Azure Active Directory pas (od Passport. Azure AD pre Node.js) nesprávne overuje ID tokeny.
Útočník, ktorí úspešne využíva túto chybu mohol obísť overenie Azure Active Directory cielené hostiteľa webovej aplikácie. Využiť túto chybu, útočník by mal poslať špeciálne vytvorené token cieľ webovú aplikáciu, ktorá obsahuje platné používateľské pohľadávky totožnosť. Táto aktualizácia rieši nedostatočné opravou ako overené ID tokeny Passport stratégie využiť Azure Active Directory.
Najčastejšie otázky týkajúce sa tejto chyby
Q1: používam Azure Active Directory. Týka sa ma?
A1: Tento problém sa týka iba webové aplikácie, ktoré používajú Passport-Azure-AD Node.js knižnice využiť Azure AD overovanie. Štandardné neovplyvní Azure AD overovania, ktorý nepoužíva Passport Azure AD Node.js knižnice. Nespoľahlivé webové aplikácie, ktoré používajú staršie verzie Passport Azure AD Node.js knižnice.
Q2: Čo je pas-Azure-AD pre Node.js?
A2: Pas-Azure-AD pre Node.js je kolekcia Passport stratégie, ktoré vám pomôžu začleniť uzol aplikácie Azure Active Directory. Obsahuje OpenID pripojiť, WS-federácia a SAML-P overovanie a autorizácia. Títo poskytovatelia umožňujú používať funkcie služby Passport, Azure a ad pre Node.js, vrátane web jedným vstupom (WebSSO), Endpoint Protection OAuth, a token vydanie JWT a overenia.
Informácie o aktualizácii
Vývojárov, ktorí používajú knižnicu Passport Azure AD Node.js potrebné prevziať najnovšiu verziu Node.js knižnice Passport-Azure-reklamy a aktualizujte svoje aplikácie. Technické podrobnosti sú Publikované v našom GitHub úložisko.
Vývojárov, ktorí používajú verzie 1. x , musíte aktualizovať na verziu 1.4.6.
Vývojárov, ktorí používajú verzie 2.0, musíte aktualizovať na verziu 2.0.1.
Stav
Spoločnosť Microsoft potvrdila, že ide o problém v pas-Azure-Node.js knižnice.
Odkazy
CVE číslo: 2016 7191
Oboznámte sa s terminológia že Microsoft používa na popis aktualizácií softvéru.
