Özet
Azure Active Directory Passport kitaplığı (Passport-Azure-AD Node.js) yanlış kimlik simgelerini doğrulama bir ayrıcalık yükselmesi güvenlik açığı bulunmaktadır.
Bu güvenlik açığından başarıyla yararlanan bir saldırgan, hedef ana bilgisayarın web uygulamasına Azure Active Directory kimlik doğrulaması devre dışı bırakabilecek. Bu güvenlik açığından yararlanmak için saldırganın özel olarak hazırlanmış bir belirteç geçerli kullanıcının kimlik talepleri içeren hedef web uygulaması göndermesi gerekir. Bu güncelleştirme, Passport stratejileri Azure Active Directory yararlanmak zaman kimlik belirteçleri nasıl doğrulanır düzelterek güvenlik açığını giderir.
Bu güvenlik açığı hakkında sık sorulan sorular
Q1: Azure Active Directory kullanıyorum. Bu açıktan etkilenir miyim?
A1: Bu güvenlik açığı, yalnızca kimlik doğrulaması için Azure AD yararlanmak için Passport-Azure-AD Node.js kitaplığı kullanan web uygulamaları etkiler. Standart Passport Azure AD Node.js kitaplığı kullanmayan Azure AD kimlik doğrulaması etkilenmez. Node.js kitaplığı için Passport Azure AD eski sürümlerini kullanan web uygulamaları güvenlik açığı bulunmaktadır.
Q2: Azure Passport AD Node.js için nedir?
A2: Azure Passport AD Node.js için yardımcı Passport stratejileri koleksiyonu düğüm uygulamalarınızı Azure Active Directory ile entegre olur. OpenID bağlanmak, içerir SAML P kimlik doğrulaması ve yetkilendirme ve WS-Federasyon. Bu sağlayıcıları için web çoklu oturum açma (WebSSO) ile OAuth, Endpoint Protection dahil Node.js Passport Azure AD özelliklerinin çoğu kullanmanızı sağlar ve JWT belirteci verme ve doğrulama.
Güncelleştirme bilgileri
Passport Azure AD Node.js kitaplığını kullanan geliştiriciler Passport-Azure-AD Node.js kitaplığının en son sürümünü karşıdan yükleyin ve sonra uygulamalarını güncelleştirin. Teknik Ayrıntılar bizim GitHub depoiçinde yayınlanır.
Sürüm 1 kullanan geliştiriciler. x 1.4.6 sürümüne güncelleştirmeniz gerekir.
Sürüm 2.0 kullanan geliştiricilerin sürüm 2.0.1 güncelleştirmeniz gerekir.
Durum
Microsoft Passport-Azure-AD Node.js kitaplığı için bir sorun olduğunu onaylamıştır.
Başvurular
CVE numarası: 2016-7191
Microsoft yazılım güncelleştirmelerini açıklamak için kullandığı terminoloji hakkında ek bilgi edinin.