Date: Fri, 29 Mar 2024 09:19:55 +0100 (CET) Message-ID: <1298752505.47.1711700395318@confluence-esup.uphf.fr> Subject: Exported From Confluence MIME-Version: 1.0 Content-Type: multipart/related; boundary="----=_Part_46_125721353.1711700395318" ------=_Part_46_125721353.1711700395318 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable Content-Location: file:///C:/exported.html
Les avis de s=C3=A9curit=C3=A9 du c=
onsortium ESUP-Portail portent sur des vuln=C3=A9rabilit=C3=A9s des logicie=
ls diffus=C3=A9s par le consortium. Il est de la responsabilit=C3=A9 de cha=
cun des destinataires de ce document de ne pas le rediffuser en dehors du c=
adre pour lequel il a =C3=A9t=C3=A9 =C3=A9crit, pour des raisons =C3=A9vide=
ntes de s=C3=A9curit=C3=A9 des Syst=C3=A8mes d'Information de tous les =C3=
=A9tablissements du consortium ESUP-Portail.
Objet |
Vuln=C3=A9rabilit=C3=A9 dans uPortal |
R=C3=A9f=C3=A9rence |
ESUP-2008-AVI-001 |
Date de la premi=C3=A8re version |
18 juin 2008 |
Date de la derni=C3=A8re version |
4 juillet 2008 |
Source |
liste de diffusion uportal-user du consortium= JASIG |
Diffusion de cette version |
Publique |
Historique |
|
Pi=C3=A8ces jointes |
Usurpation de l'identit=C3=A9 des utilisateurs dans uPortal par r=C3=A9c= up=C3=A9ration de l'identifiant de session.
uPortal est distribu=C3=A9 avec une configuration proxy qui autorise une= attaque de type Cross Site Scripting (XSS).
Un pirate peut introduire du code Javascript arbitraire dans le rendu de= uPortal s'il fait ouvrir par le navigateur client une URL du portail malic= ieusement construite. Les possibilit=C3=A9s d'attaque par le code Javascrip= t incluent notamment la capture de l'identifiant de session, autorisant alo= rs l'usurpation de l'identit=C3=A9 de l'utilisateur.
La non utilisation de la servlet HttpProxyServlet =C3= =A9tait d=C3=A9j=C3=A0 recommand=C3=A9e par l'avis de s=C3=A9curit=C3=A9 ESUP-2007-AVI-001 - = Vuln=C3=A9rabilit=C3=A9 dans uPortal. Les exploitants qui n'utilisent p= as cette servlet doivent v=C3=A9rifier qu'elle est bien comment=C3=A9e dans= les fichiers /WEB-INF/web.xml de leurs instances de produ= ction.
Si la servlet est utilis=C3=A9e, ou qu'elle pourrait =C3=AAtre utilis=C3= =A9e, et que vous utilisez une version 2.6 ou plus, il faut alors remplacer= le fichier source/org/jasig/portal/HttpProxyServlet.java = par la version fournie dans le correctif ESUP-2008-AVI-001-COR.zip, puis red=C3=A9marrer Tomcat.
Solution pour uPortal 2.5
Dans le cas d'une version 2.5, vous devez obligatoire commenter la servl= et HttpProxyServlet dans /WEB-INF/web.xml
by Andrew Petro < apetro@unicon.net >
June 17th 2008
uPortal adopters,As you've likely seen on the JASIG announc=
ement email list, uPortal 3.0.1 is now released. This release include=
s many improvements and Eric Dalquist and others are to be heartily congrat=
ulated.It also includes a specific critical security fix for a vul=
nerability in HttpProxyServlet, which affects both uPortal 3.0.0 and uPorta=
l 2.6.1 and earlier.A patch is now available to fix this vulnerabi=
lity in uPortal 2.6.http://www.ja-sig.org/wiki/x/YhPP<=
br>If you are running the HttpProxyServlet (i.e., it is declared in web=
.xml), it is important that you apply this patch to secure from the risk of=
illicit proxies and cross-site-scripting through the vulnerability.