Date: Thu, 28 Mar 2024 15:18:05 +0100 (CET) Message-ID: <949327907.80.1711635485923@confluence-esup.uphf.fr> Subject: Exported From Confluence MIME-Version: 1.0 Content-Type: multipart/related; boundary="----=_Part_79_1292791146.1711635485923" ------=_Part_79_1292791146.1711635485923 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable Content-Location: file:///C:/exported.html
Les avis de s=C3=A9curit=C3=A9 du c=
onsortium ESUP-Portail portent sur des vuln=C3=A9rabilit=C3=A9s des logicie=
ls diffus=C3=A9s par le consortium. Il est de la responsabilit=C3=A9 de cha=
cun des destinataires de ce document de ne pas le rediffuser en dehors du c=
adre pour lequel il a =C3=A9t=C3=A9 =C3=A9crit, pour des raisons =C3=A9vide=
ntes de s=C3=A9curit=C3=A9 des Syst=C3=A8mes d'Information de tous les =C3=
=A9tablissements du consortium ESUP-Portail.
Objet |
Vuln=C3=A9rabilit=C3=A9 dans le serveur WebDa= v |
R=C3=A9f=C3=A9rence |
ESUP-2007-AVI-004 |
Date de la premi=C3=A8re version |
8 novembre 2007 |
Date de la derni=C3=A8re version |
27 novembre 2007 |
Source |
liste de diffusion slide-user@jakarta.apache.= org du projet Apache |
Diffusion de cette version |
Publique |
Historique |
|
Pi=C3=A8ces jointes |
= td> |
Possibilit=C3=A9 de lire =C3=A0 distance un fichier sur le serveur Unix = ou Windows faisant tourner le serveur esupwebdav-srv.
Exploitation d'une faille li=C3=A9e =C3=A0 l'utilisation d'une ENTITY de= type SYSTEM dans une commande formul=C3=A9e en XML.
Avec une commande LOCK ou PROPPATCH contenant une requ=C3=AAte XML avec = une ENTITY de type SYSTEM un pirate peut obtenir en r=C3=A9ponse le fichier= point=C3=A9 par cette ENTITY. Il est donc possible de lire n'importe quel = fichier du serveur pour lequel l'utilisateur, propri=C3=A9taire du processu= s tomcat faisant tourner le serveur WebDAV, a un droit en lecture. A noter = que les commandes LOCK ou PROPPATCH ne peuvent =C3=AAtre ex=C3=A9cut=C3=A9e= s que sur des ressources WebDAV pour lesquels on a un droit en =C3=A9critur= e ce qui n'est g=C3=A9n=C3=A9ralement possible que pour des personnes pouva= nt s'identifier sur le serveur WebDAV.
(si vous ne d=C3=A9cidez pas encore de passer sur une version 5.2)
Mettre =C3=A0 jour avec la version 5.2RC5 disponible sur sourcesup : http://sourcesup.cru.fr/frs/?group_id=3D207
<ozeigermann@apache.org>
02/11/2007 09:26
Folks!
As described here there is a security bug in the curr= ent Slide release. Using the LOCK methode it is possible to display content= from your local file system. This works by passing over literate XML that = contains entities that refer to your local file system.
AFAIK this can not be prevented by the XML implementation Slide uses (JD= OM).
A quick fix would be to disable the LOCK method in the web.xml by commen= ting it out or removing it.
I have also committed a patched LockMethod.java that does not return lit= erate XML at all. This may cause trouble with the owner filed that some cli= ents require, but it is the best I can do for now.
It is checked in in the Slide 2.1 release branch and in the HEAD branch.= For existing Slide 2.1 installations it would suffice to check out, compil= e and replace the LockMethod class. You can do so by copying it in the the = WEB-INF/class folder including all package directories.
If you grant outside access to your Slide WebDAVServer be sure to take care of this bug.
Cheers
Oliver