ADAL .NET 程式庫的安全性更新

結論
在特定問題案例中,適用於 .NET 的 Active Directory Authentication Library (ADAL .NET) 內會出現權限提高弱點。

攻擊者若成功入侵此弱點,在應用程式中即可取得允許更高權限的權杖。

如果包含代理通訊協定流程與 ClientAssertion/ClientAssertionCertificate/ClientCredentialUserAssertion 的特定使用案例傳遞到 AcquireToken* API,就會發生此問題。

此弱點的相關常見問題集

問 1:什麼是適用於 .NET 的 Active Directory Authentication Library?

答 1:適用於 .NET 的 Active Directory Authentication Library (ADAL) 可為.NET 用戶端和 Windows 市集應用程式提供簡單易用的驗證功能。

問 2:適用於 .NET 的 Active Directory Authentication Library (ADAL .NET) 有哪些版本受到影響?

答 2:目前出現的 2 個問題,會讓不同 ADAL 版本出現不同行為。這些版本如下:

  • ADAL 2.0.x 到 2.21.x 版 (包含) 及 ADAL 3.0.x 到 3.5.x 版 (包含)。
  • ADAL 2.25.x 到 2.27.x 版 (包含) 及 ADAL 3.10.x 到 3.11.x 版 (包含)。

問 3:我是 Azure Active Directory 使用者,我會受到影響嗎?

答 3:此弱點只會在特定情況下,影響使用特定版本 ADAL .NET 的應用程式。此問題不會影響 Azure AD 服務、Microsoft 或 Azure 基礎結構。

更新資訊

使用 ADAL .NET 的開發人員必須下載最新版 ADAL .NET,並更新其應用程式。技術詳細資訊已發佈於我們的 GitHub 存放庫

狀況說明
Microsoft 已確認 ADAL .NET 程式庫確實有上述問題。
参考
深入了解 術語 。Microsoft 會使用這些術語來說明軟體更新內容。
內容

文章識別碼:3190237 - 最後檢閱時間:09/08/2016 13:04:00 - 修訂: 2.0

Microsoft Azure Active Directory

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload KB3190237
意見反應