Applies ToAzure Active Directory

結論

Azure Active Directory Passport 程式庫 (適用於 Node.js 的 Passport-Azure-AD) 不正確地驗證 ID Token 時,會產生權限提高弱點。成功入侵此弱點的攻擊者可繞過 Azure Active Directory 驗證,前往目標主機 Web 應用程式。為了入侵此弱點,攻擊者必須將蓄意製作的 Token 傳送至內含有效使用者身分識別宣告的目標 Web 應用程式。本更新藉由修正 Passport 策略使用 Azure Active Directory 時驗證 ID Token 的方式,處理此弱點。

此弱點的相關常見問題集

問 1:我使用 Azure Active Directory。我會受到影響嗎?答 1:此弱點僅影響透過適用於 Node.js 的 Passport-Azure-AD 程式庫,使用 Azure AD 進行驗證的 Web 應用程式。未使用適用於 Node.js 的 Passport-Azure-AD 程式庫的標準 Azure AD 驗證不會受影響。此弱點存在於使用舊版適用於 Node.js 的 Passport-Azure-AD 程式庫的 Web 應用程式中。問 2:什麼是適用於 Node.js 的 Passport-Azure-AD?答 2:適用於 Node.js 的 Passport-Azure-AD 是 Passport 策略集,可協助您整合節點應用程式與 Azure Active Directory。其包含 OpenID Connect、WS-Federation,以及 SAML-P 驗證與授權。這些提供者可讓您使用許多適用於 Node.js 的 Passport-Azure-AD 功能,包括網頁單一登入 (WebSSO)、使用 OAuth 的 Endpoint Protection,以及 JWT Token 發行與驗證。

更新資訊

使用 Passport Azure AD Node.js 程式庫的開發人員必須下載適用於 Node.js 的 Passport-Azure-AD 程式庫最新版本,並更新其應用程式。技術詳細資訊已發佈於我們的 GitHub 存放庫使用 1.x 版的開發人員必須更新至 1.4.6 版。使用 2.0 版的開發人員必須更新至 2.0.1 版。

狀況說明

Microsoft 已確認適用於 Node.js 的 Passport-Azure-AD 程式庫確實有上述問題。

参考

CVE 編號:2016-7191了解 術語 。Microsoft 會使用這些術語來說明軟體更新內容。

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。