Säkerhetsuppdatering för Passport Azure-AD för Node.js-bibliotek

VIKTIGT: Denna artikel har översatts av Microsofts programvara för maskin-översättning och möjligen efterredigerats via CTF-teknologi av Microsofts community istället för av en professionell mänsklig översättare. För att du på ditt eget språk skall få tillgång till samtliga Knowledge Base-artiklar erbjuder Microsoft både mänskligt översatta såväl som maskinöversatta artiklar samt artiklar som efterredigerats av en community. En maskinöversatt artikel likväl som en artikel som blivit efterredigerad av en community är dock inte alltid helt perfekt, då de kan innehålla misstag i ordförrådet, syntax- och grammatikfel. Microsoft är inte ansvarigt för några felaktigheter, misstag eller skador orsakade av felöversättningar eller för våra kunders bruk av innehållet. Microsoft uppdaterar ofta sin programvara för maskinöversättning samt de verktyg som förbättrar den maskinöversatta efterredigeringen.

Den engelska versionen av artikeln är följande: 3187742
Sammanfattning
Det finns ett privilegium säkerhetsproblem gällande utökade när biblioteket (Passport-Azure-AD för Node.js) för Azure Active Directory Passport validerar felaktigt ID-token.

En angripare som utnyttjar det här säkerhetsproblemet skulle kunna kringgå Azure Active Directory-autentisering till ett webbprogram för målvärden. Om du vill utnyttja detta säkerhetsproblem måste angriparen skicka en särskilt utformad token till webbprogrammet mål som innehåller en giltig användare identitetsanspråk. Den här uppdateringen åtgärdar problemet genom att korrigera hur ID-token valideras när Passport-strategier utnyttja Azure Active Directory.

Vanliga frågor och svar om problemet

Q1: jag använder Azure Active Directory. Påverkas jag?

A1: Detta problem påverkar endast webbprogram som använder Passport Azure-AD för Node.js bibliotek för att utnyttja Azure AD för autentisering. Standard Azure AD autentisering som inte använder Passport-Azure-AD för Node.js-biblioteket påverkas inte. Säkerhetsproblem i webbprogram som använder äldre versioner av Passport-Azure-AD för Node.js-biblioteket.

Q2: Vad är Passport Azure AD för Node.js?

A2: Passport Azure AD för Node.js är en samling av Passport-strategier som hjälper dig att integrera nod-program med Azure Active Directory. Den innehåller OpenID ansluta WS-Federation och SAML-P autentisering och auktorisering. Dessa providers kan du använda flera funktioner i Passport-Azure-AD för Node.js, inklusive web enkel inloggning (WebSSO) Endpoint Protection med OAuth, och JWT utfärdande och validering.

Information om uppdateringen

Utvecklare som använder Passport Azure AD Node.js-biblioteket måste hämta den senaste versionen av Passport Azure-AD för Node.js bibliotek och uppdatera sina program. Teknisk information publiceras i vår GitHub-databasen.

Utvecklare som använder version 1.x Uppdatera till version 1.4.6.

Utvecklare som använder version 2.0 måste uppdatera till version 2.0.1.

Status
Microsoft har bekräftat att detta är ett problem i Passport Azure-AD för Node.js-biblioteket.
Referenser
CVE-nummer: 7191 2016

Lär dig mer om de terminologi som Microsoft använder för att beskriva programuppdateringar.

Varning: Den här artikeln har automatöversatts

Egenskaper

Artikel-id: 3187742 – senaste granskning 10/01/2016 00:28:00 – revision: 4.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3187742 KbMtsv
Feedback