Cập Nhật bảo mật cho Passport Azure AD cho Node.js thư viện

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3187742
Tóm tắt
Độ cao lỗ hổng bảo mật quyền tồn tại khi thư viện Azure Thư mục Họat động Passport (Passport-Azure AD cho Node.js) sai xác nhận ID thẻ.

Kẻ tấn công đã thành công khai thác lỗ hổng này có thể bỏ qua Azure Thư mục Họat động xác thực với ứng dụng web máy chủ đích. Khai thác lỗ hổng này, kẻ có gửi một mã thông báo đặc biệt crafted cho ứng dụng web đích có tuyên bố danh tính của người dùng hợp lệ. Bản cập nhật này giải quyết các lỗ hổng bằng cách điều chỉnh cách ID thẻ được xác nhận khi chiếu chiến lược tận dụng Azure Thư mục Họat động.

câu hỏi thường gặp về lỗ hổng bảo mật này

Q1: Sử dụng Azure Thư mục Họat động. Đang ảnh hưởng?

A1: Lỗ hổng này chỉ ảnh hưởng đến các ứng dụng web sử dụng Passport Azure AD cho thư viện Node.js tận dụng Azure AD cho xác thực. Tiêu chuẩn xác thực Azure AD không sử dụng Passport Azure AD Node.js thư viện không bị ảnh hưởng. Lỗ hổng bảo mật tồn tại trong ứng dụng web sử dụng phiên bản lỗi Passport Azure AD Node.js thư viện.

Q2: Azure AD Passport cho Node.js là gì?

A2: Azure AD chiếu cho Node.js là tập hợp những chiến lược Passport giúp bạn tích hợp các ứng dụng nút chọn một với Azure Thư mục Họat động. Nó bao gồm kết nối OpenID, WS-liên kết, và SAML P xác thực và mức cấp phép. Các nhà cung cấp cho bạn sử dụng nhiều tính năng chiếu Azure quảng cáo Node.js, bao gồm các web site đăng nhập đơn (WebSSO), Endpoint Protection với OAuth, và JWT mã thông báo phát hành và xác nhận.

Thông tin cập nhật

Nhà phát triển sử dụng thư viện Passport Azure AD Node.js phải tải xuống phiên bản mới nhất của bản chiếu Azure AD cho thư viện Node.js và cập nhật các ứng dụng. Các chi tiết kỹ thuật được xuất bản của chúng tôi Kho GitHub.

Nhà phát triển sử dụng phiên bản 1.x phải cập nhật lên phiên bản 1.4.6.

Nhà phát triển sử dụng phiên bản 2.0 phải cập nhật lên phiên bản 2.0.1.

Tình trạng
Microsoft đã xác nhận rằng đây là sự cố trong bản chiếu Azure AD cho Node.js thư viện.
Tham khảo
CVE số: 7191 người 2016

Tìm hiểu về các thuật ngữ mà Microsoft sử dụng để mô tả bản cập nhật phần mềm.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3187742 - Xem lại Lần cuối: 10/01/2016 00:31:00 - Bản sửa đổi: 4.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kbmt KB3187742 KbMtvi
Phản hồi