Säkerhetsuppdatering för .NET ADAL-biblioteket

VIKTIGT: Denna artikel har översatts av Microsofts programvara för maskin-översättning och möjligen efterredigerats via CTF-teknologi av Microsofts community istället för av en professionell mänsklig översättare. För att du på ditt eget språk skall få tillgång till samtliga Knowledge Base-artiklar erbjuder Microsoft både mänskligt översatta såväl som maskinöversatta artiklar samt artiklar som efterredigerats av en community. En maskinöversatt artikel likväl som en artikel som blivit efterredigerad av en community är dock inte alltid helt perfekt, då de kan innehålla misstag i ordförrådet, syntax- och grammatikfel. Microsoft är inte ansvarigt för några felaktigheter, misstag eller skador orsakade av felöversättningar eller för våra kunders bruk av innehållet. Microsoft uppdaterar ofta sin programvara för maskinöversättning samt de verktyg som förbättrar den maskinöversatta efterredigeringen.

Den engelska versionen av artikeln är följande: 3190237
Sammanfattning
En förhöjning av privilegium säkerhetsproblem finns i Active Directory-autentisering bibliotek för .NET (ADAL .NET) i scenarier med specifika problem.

En angripare som utnyttjar det här säkerhetsproblemet kan få en token som beviljas högre behörighet än bör beviljas för ett program.

Det här problemet uppstår i situationer som inkluderar flödetförprotokollet och specifika användningsfall avClientCredential-ClientAssertion/ClientAssertionCertificate och UserAssertion som skickas till den AcquireToken * API.

Vanliga frågor och svar om problemet

Q1: Vad är Active Directory-autentisering bibliotek för .NET?

A1: I Active Directory autentisering bibliotek (ADAL) för .NET innehåller lättanvända autentisering funktioner för .NET-klienter och Windows Store-program.

F2: Vilka versioner av Active Directory-autentisering bibliotek för .NET (ADAL .NET) påverkas?

A2: Det finns två issuesthat har olika beteenden som förekommer i olika versioner av ADAL. Dessa versioner är följande:

  • ADAL version 2.0.x till 2.21.x inkluderande och ADAL version 3.0.x till 3,5.x inkluderande.
  • ADAL versioner 2,25.x till 2.27.x inkluderande och ADAL version 3.10.x till 3.11.x inkluderande.

Q3: jag använder Azure Active Directory. Påverkas jag?

A3: Detta problem påverkar endast program som använder särskilda versioner av .NET ADAL under särskilda förhållanden. Det här problemet påverkar inte Azure Active Directory-tjänsten eller Microsoft eller Azure infrastruktur.

Information om uppdateringen

Utvecklare som använder ADAL .NET måste du hämta den senaste versionen av ADAL .NET och uppdatera sina program. Teknisk information publiceras i vårGitHub-databasen.

Status
Microsoft har bekräftat att detta är ett problem i .NET ADAL-biblioteket.
Referenser
Lär dig mer om de terminologi som Microsoft använder för att beskriva programuppdateringar.

Varning: Den här artikeln har automatöversatts

Egenskaper

Artikel-id: 3190237 – senaste granskning 09/08/2016 12:58:00 – revision: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3190237 KbMtsv
Feedback