สรุป
การยกระดับสิทธิ์ของช่องโหว่ของสิทธิ์การใช้งานอยู่เมื่อ Passport ไดเรกทอรีที่ใช้งานอยู่ของ Azure ไลบรารี (Passport-Azure-AD สำหรับ Node.js) ตรวจสอบโทเค็น ID ไม่ถูกต้อง
โจมตีที่สำเร็จอาศัยข้อบกพร่องของช่องโหว่นี้ไม่สามารถเลี่ยงผ่านการรับรองความถูกต้องของ Azure Active Directory เพื่อโปรแกรมประยุกต์เว็บโฮสต์ที่ถูกกำหนดเป้าหมายไว้ การทำลายช่องโหว่นี้ โจมตีจะมีการส่งโทเค็น crafted เป็นพิเศษกับโปรแกรมประยุกต์บนเว็บเป้าหมายที่ประกอบด้วยการอ้างสิทธิ์ข้อมูลเฉพาะตัวของผู้ใช้ที่ถูกต้อง อัปเดทนี้เน้นช่องโหว่ที่แก้ไขวิธีการตรวจสอบโทเค็น ID เมื่อกลยุทธ์ Passport ใช้ประโยชน์จากไดเรกทอรีที่ใช้งานอยู่ของ Azure
คำถามที่ถามบ่อยเกี่ยวกับช่องโหว่นี้
Q1: ที่ฉันใช้ไดเรกทอรีที่ใช้งานอยู่ของ Azure กำลังฉันได้รับผลกระทบอย่างไร
A1: ช่องโหว่นี้มีผลกับโปรแกรมประยุกต์เว็บที่ใช้ Passport-Azure-โฆษณาสำหรับไลบรารี Node.js เพื่อใช้ประโยชน์จากโฆษณา Azure สำหรับการรับรองความถูกต้อง เท่านั้น มาตรฐานการพิสูจน์ตัวจริงโฆษณา Azure ที่ใช้ Passport-Azure-โฆษณาสำหรับไลบรารี Node.js ไม่ได้รับผลกระทบ ช่องโหว่ที่มีอยู่ในโปรแกรมประยุกต์เว็บที่ใช้รุ่นที่ล้าสมัยของ Passport-Azure-โฆษณาสำหรับไลบรารี Node.js
Q2: Passport-Azure-โฆษณาสำหรับ Node.js คืออะไร?
A2: Passport-Azure-โฆษณาสำหรับ Node.js คือ คอลเลกชันของ Passport กลยุทธ์ที่ช่วยให้คุณสามารถรวมแอพลิเคชันของคุณโหนกับไดเรกทอรีที่ใช้งานอยู่ของ Azure มีการเชื่อมต่อ OpenID, WS สหพันธรัฐ และ SAML P การรับรองความถูกต้อง และตรวจสอบ ผู้ให้บริการเหล่านี้ช่วยให้คุณใช้คุณลักษณะมากมายของ Passport โฆษณา Azure Node.js รวมทั้งเว็บเดียวเข้าสู่ระบบ (WebSSO), การป้องกันปลายทาง ด้วยการใช้ OAuth และออกโทเค็น JWT และตรวจสอบ
ข้อมูลการปรับปรุง
นักพัฒนาที่ใช้ไลบรารี Node.js โฆษณา Azure Passport ต้องดาวน์โหลดรุ่นล่าสุดของ Passport-Azure-โฆษณาสำหรับไลบรารี Node.js และจากนั้น ปรับปรุงโปรแกรมประยุกต์ของตนด้วย รายละเอียดทางเทคนิคถูกจัดพิมพ์ในที่เก็บ GitHubของเรา
นักพัฒนาที่ใช้รุ่น 1 xต้องการปรับปรุงรุ่น 1.4.6
นักพัฒนาที่ใช้รุ่น 2.0 ต้องปรับปรุงรุ่น 2.0.1
สถานะ
Microsoft ยืนยันว่า นี่เป็นปัญหาใน Passport-Azure-โฆษณาสำหรับไลบรารี Node.js
ข้อมูลอ้างอิง
หมายเลข CVE: 2016-7191
เรียนรู้เกี่ยวกับคำศัพท์เฉพาะทางที่ Microsoft ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์