...
La mise à jour des librairies clientes CAS est une bonne option également, suite au signalement de cette faille les dernières versions corrigent ce problème.
Les applications web cassifiées impactées peuvent aussi proposer des mises à jour corrigeant ce problème.
- la La mise à jour EsupPortail sur le tag uportal-4.0.15 permet de corriger le problème pour l'ENT EsupPortail par exemple
- autre Autre exemple, si vous utilisez CAS comme "authentication provider" pour votre IDP shibboleth, une mise à jour de la bibliothèque cas-client-core-xxx.jar peut être faite simplement pour sécuriser votre IDP vis à vis de cette faille.
- Plus généralement sur les applications Java utiliant la librairie cliente CAS Jasig, la mise à jour d'un cas-client-core-3.x.y.jar en cas-client-core-3.3.3.jar fixe le pb, de même que le passage sur spring-security 3.2.5.RELEASE (qui embarque cas-client-core-3.3.3.jar).
Liens
- Alerte mail sur cas-user : https://lists.wisc.edu/read/messages?id=33836937
- https://github.com/Jasig/cas-server-security-filter
...