Загальні відомості
Розширення, прав вразливості існує, під час бібліотеки Azure Active Directory-паспорт (паспорт-Azure AD для Node.js), неправильно перевіряє Ідентифікатор маркери.
Зловмисник успішно, використовує цю вразливість, можна обійти цільової хост веб-застосунок автентифікації в Azure Active Directory.. Можна використовувати цю вразливість, якими б надіслати спеціально створений маркер цільовий веб-застосунок, який містить дійсного користувача посвідчення вимоги. Це оновлення усуває вразливість, за виправлення, як Ідентифікатор маркери перевірені під час Passport стратегії скористатися Azure Active Directory..
Запитання й відповіді про цей дефект.
Q1: Використовувати Azure в Active Directory. Чи впливає?
A1: Цей дефект впливає лише на веб-застосунками, скористайтеся Azure AD для автентифікації за допомогою до служби Passport Azure AD Node.js бібліотеки. Стандартний Azure AD автентифікації, якій не використовується в паспорт Azure AD Node.js бібліотеки не діє. Уразливість на веб-застосунки, які застарілих версій паспорт-Azure AD Node.js бібліотеки.
Q2: Що таке Passport Azure AD для Node.js?
A2: Паспорт Azure AD для Node.js, є набір Passport стратегії, які допоможуть вам інтеграції вузла додатках Azure Active Directory.. Він містить OpenID підключення, WS-об'єднання і SAML-P автентифікація та авторизація. Ці служби можна використовувати багато функцій Passport, Azure, оголошення для Node.js, включно з web єдиного входу (WebSSO), захисту кінцевої точки OAuth і JWT маркерів-випуску, так і перевірки.
Відомості про оновлення
Розробників, які використовують паспорт Azure AD-Node.js бібліотеки, потрібно завантажити останню версію з Passport Azure AD Node.js бібліотеки а потім, оновіть застосунки. Технічні відомості публікуються наших GitHub сховища.
Розробників, які використовують версії 1. x , необхідно оновити версію 1.4.6.
Розробників, які використовують версії 2.0, необхідно оновити версію 2.0.1.
Стан
Корпорація Майкрософт підтвердила, що це проблема в паспорт Azure AD Node.js бібліотеки.
Посилання
CVE номер: 2016-7191
Відомості про термінологію , яку використовує корпорація Майкрософт для опису оновлень програмного забезпечення.