...
Objet | Vulnérabilité dans uPortal |
Référence | ESUP-2008-AVI-001 |
Date de la première version | 18 juin 2008 |
Date de la dernière version | 30 juin 4 juillet 2008 |
Source | liste de diffusion uportal-user du consortium JASIG |
Diffusion de cette version | Publique |
Historique |
|
Pièces jointes |
...
La non utilisation de la servlet HttpProxyServlet était déjà recommandée par l'avis de sécurité ESUP-2007-AVI-001 - Vulnérabilité dans uPortal. Les exploitants qui n'utilisent pas cette servlet doivent vérifier qu'elle est bien commentée dans les fichiers /WEB-INF/web.xml de leurs instances de production.
Si la servlet est utilisée, ou qu'elle pourrait être utilisée, et que vous utilisé un utilisez une version 2.6 ou plus, il faut alors remplacer le fichier source/org/jasig/portal/HttpProxyServlet.java par la version fournie dans le correctif ESUP-2008-AVI-001-COR.zip, puis redémarrer Tomcat.
Remarque | ||
---|---|---|
| ||
Dans le cas d'une version 2.5, vous devez obligatoire commenter la servlet HttpProxyServlet dans /WEB-INF/web.xml |
Liens
- Le ticket JIRA montrant la vulnérabilité : http://www.ja-sig.org/issues/browse/UP-2088
- La page du wiki JASIG décrivant la vulnérabilité et donnant les solutions : http://www.ja-sig.org/wiki/x/YhPP
...