Applies ToAzure Active Directory

Sammanfattning

Det finns ett privilegium säkerhetsproblem gällande utökade när biblioteket (Passport-Azure-AD för Node.js) för Azure Active Directory Passport validerar felaktigt ID-token.En angripare som utnyttjar det här säkerhetsproblemet skulle kunna kringgå Azure Active Directory-autentisering till ett webbprogram för målvärden. Om du vill utnyttja detta säkerhetsproblem måste angriparen skicka en särskilt utformad token till webbprogrammet mål som innehåller en giltig användare identitetsanspråk. Den här uppdateringen åtgärdar problemet genom att korrigera hur ID-token valideras när Passport-strategier utnyttja Azure Active Directory.

Vanliga frågor och svar om problemet

Q1: jag använder Azure Active Directory. Påverkas jag?A1: Detta problem påverkar endast webbprogram som använder Passport Azure-AD för Node.js bibliotek för att utnyttja Azure AD för autentisering. Standard Azure AD autentisering som inte använder Passport-Azure-AD för Node.js-biblioteket påverkas inte. Säkerhetsproblem i webbprogram som använder äldre versioner av Passport-Azure-AD för Node.js-biblioteket.Q2: Vad är Passport Azure AD för Node.js?A2: Passport Azure AD för Node.js är en samling av Passport-strategier som hjälper dig att integrera nod-program med Azure Active Directory. Den innehåller OpenID ansluta WS-Federation och SAML-P autentisering och auktorisering. Dessa providers kan du använda flera funktioner i Passport-Azure-AD för Node.js, inklusive web enkel inloggning (WebSSO) Endpoint Protection med OAuth, och JWT utfärdande och validering.

Information om uppdateringen

Utvecklare som använder Passport Azure AD Node.js-biblioteket måste hämta den senaste versionen av Passport Azure-AD för Node.js bibliotek och uppdatera sina program. Teknisk information publiceras i våra GitHub-databasen.Utvecklare som använder version 1. x måste uppdateras till version 1.4.6.Utvecklare som använder version 2.0 måste uppdatera till version 2.0.1.

Status

Microsoft har bekräftat att detta är ett problem i Passport Azure-AD för Node.js-biblioteket.

Referenser

CVE-nummer: 7191 2016Lär dig mer om den terminologi som Microsoft använder för att beskriva programuppdateringar.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders