Sécurité
Pages enfant
  • ESUP-2014-AVI-001 - Vulnérabilité dans uPortal V4

Comparaison des versions

Ancienne version 4

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version 5

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

L'alerte concerne en fait 2 vulnérabilités. La première impacte effectivement les ENT V4 Esup en production. La deuxième ne devrait vraisemblablement impacter aucun ENT. 

On propose ici une description simplifiée (vulgarisée - comporte donc des "raccourcis" ~ imprécisions) du descriptif donné par Jasig. 
https://lists.wisc.edu/read/messages?id=33298597 

...

Un utilisateur pouvant afficher une portlet a la possibilité d'utiliser le mode "config" de la portlet (en forgeant simplement l'url pour).

Le mode "config" présente un formulaire qui permet de reconfigurer la une portlet.

Très peu de portlets proposent ce mode config. Nous en identifions actuellement 2 : 

  • Simplecontentportlet : le mode config de cette portlet permet de modifier le contenu de la page via un éditeur wysiwyg. Il est très utilisé dans les ENT V4 notamment pour proposer des portlets présentant du contenu simple statique. De fait, on retrouve ces portlets dans les pages d'accueil des ENT pour l'accès public.
    Dans ces cas d'usage, la vulnérabilité #1 permet par exemple à tout internaute de modifier le contenu statique des pages publiques de l'ENT.
     
  • WebProxyPortlet : le mode config de cette portlet permet de reparamétrer cette portlet. Cette portlet permet de faire proxy sur d'autres pages web.
    pour un usage public, la portlet peut être utilisé pour simplement afficher (faire un 'proxy') sur une page externe - la vulnérabilité permet ainsi comme précédemment de modifier le contenu des pages de l'ENT par tout anonyme
    pour un usage restreint, la portlet peut être utilisé comme mécanisme pour sécuriser certains accès - récupérer des pages web via une authentification "trusted"; cette vulnérabilité peut alors être exploitée par un utilisateur authentifié pour récupérer des informations qui étaient dédiées à un autre utilisateur.
    Par exemple pour l'intégration de Moodle via une Webproxyportlet, cela peut permettre à un utilisateur de visualiser le listing des cours d'un autre utilisateur (cet exemple ne représente pas un cas critique ici).

Vulnérabilité #2

Les utilisateurs pouvant administrer certaines portlets par délégation d'administration peuvent  administrer toutes les portlets.

...

La version  uportal-4.0.13.1 et uportal-4.0.13.1-esup-1 pour le package Esup corrige le problème. Si vous gérez votre ENT via Git, vous devriez ainsi pouvoir faire une mise à jour assez rapidement (git pull ou git merge puis redéploiement et redémarrage).

 Vous pouvez aussi patcher uniquement les fichiers java uPortal en cause.

...