Tóm tắt
Độ cao lỗ hổng bảo mật quyền tồn tại khi thư viện Azure Active Directory Passport (Passport-Azure AD cho Node.js) không đúng cách xác nhận ID thẻ.
Kẻ tấn công đã thành công khai thác lỗ hổng này có thể bỏ qua Azure Active Directory xác thực với ứng dụng web máy chủ đích. Khai thác lỗ hổng này, kẻ có gửi một mã thông báo đặc biệt crafted cho mục tiêu ứng dụng web có yêu cầu nhận dạng người dùng hợp lệ. Bản cập nhật này giải quyết các lỗ hổng bằng cách điều chỉnh cách ID thẻ được xác nhận khi chiếu chiến lược tận dụng Azure Active Directory.
Câu hỏi thường gặp về lỗ hổng bảo mật này
Q1: Sử dụng Azure Active Directory. Đang ảnh hưởng?
A1: Lỗ hổng này chỉ ảnh hưởng đến các ứng dụng web sử dụng Passport Azure AD cho thư viện Node.js tận dụng Azure AD cho xác thực. Tiêu chuẩn xác thực Azure AD không sử dụng Passport Azure AD Node.js thư viện không bị ảnh hưởng. Lỗ hổng bảo mật tồn tại trong ứng dụng web sử dụng phiên bản lỗi Passport Azure AD Node.js thư viện.
Q2: Azure AD Passport cho Node.js là gì?
A2: Azure AD chiếu cho Node.js là tập hợp những chiến lược Passport giúp bạn tích hợp các ứng dụng nút với Azure Active Directory. Nó bao gồm kết nối OpenID, WS-liên kết, và SAML P xác thực và cấp phép. Các nhà cung cấp cho bạn sử dụng nhiều tính năng chiếu Azure quảng cáo Node.js, bao gồm các trang web đăng nhập đơn (WebSSO), Endpoint Protection với OAuth, và JWT mã thông báo phát hành và xác nhận.
Thông tin cập nhật
Nhà phát triển sử dụng thư viện Passport Azure AD Node.js phải tải xuống phiên bản mới nhất của bản chiếu Azure AD cho thư viện Node.js và cập nhật các ứng dụng. Chi tiết kỹ thuật được xuất bản trong kho lưu trữ GitHubcủa chúng tôi.
Nhà phát triển sử dụng phiên bản 1. x phải cập nhật lên phiên bản 1.4.6.
Nhà phát triển sử dụng phiên bản 2.0 phải cập nhật lên phiên bản 2.0.1.
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong bản chiếu Azure AD cho Node.js thư viện.
Tham khảo
CVE số: 7191 người 2016
Tìm hiểu về thuật ngữ Microsoft sử dụng để miêu tả các bản cập nhật phần mềm.