ADAL .NET 库安全更新

概要
.NET (ADAL .NET) 的 Active Directory 验证库在特定问题情形下存在的特权提升漏洞。

成功攻击此漏洞的攻击者可以获得一个令牌,从而授予某个应用程序比其应获得的权限更高的权限。

此问题发生在包含代表协议流和将 ClientAssertion/ClientAssertionCertificate/ClientCredentialUserAssertion 传递到 AcquireToken* API 的特定使用案例的情形中。

关于此漏洞的常见问题

问题 1:什么是 .NET 的 Active Directory 验证库?

回答 1:.NET 的 Active Directory 验证库 (ADAL) 为 .NET 客户端和 Windows 应用商店应用程序提供易于使用的验证功能。

问题 2:.NET 的 Active Directory 验证库 (ADAL .NET) 的哪些版本会受到影响?

回答 2:在不同的 ADAL 版本中出现了两种问题,两种问题的行为也不同。这些版本如下所示:

  • ADAL 2.0.x 至 2.21.x 的所有版本及 ADAL 3.0.x 至 3.5.x 的所有版本。
  • ADAL 2.25.x 至 2.27.x 的所有版本及 ADAL 3.10.x 至 3.11.x 的所有版本。

问题 3:我在使用 Azure Active Directory,我是否会受到影响?

回答 3:此漏洞仅在特定条件下影响使用 ADAL .NET 特定版本的应用程序。此问题不会影响 Azure AD 服务或者 Microsoft 或 Azure 基础结构。

更新信息

使用 ADAL .NET 的开发人员必须下载最新版本的 ADAL .NET,然后更新其应用程序。技术详细信息发布在 GitHub 存储库中。

状态
Microsoft 已经确认这是 ADAL .NET 库中的一个问题。
参考
了解 Microsoft 用于描述软件更新的 术语
属性

文章 ID:3190237 - 上次审阅时间:09/08/2016 13:03:00 - 修订版本: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload KB3190237
反馈