...
Objet | Vulnérabilité dans le canal Annuaire |
Référence | ESUP-2010-AVI-01 |
Date de la première version | 4 mars 2010 |
Date de la dernière version | 4 mars 2010 |
Source | listes de diffusion supann-utilisateurs et esup-utilisateurs |
Diffusion de cette version | Publique |
Historique |
|
Planning prévisionnel |
|
Pièces jointes | aucune. |
Risque
...
Un accès direct en mode anonyme à une fiche utilisateur (URL du genre http://ent.univ.fr/Guest?uP_fname=annu_public&id=toto) ne contrôle pas les restrictions indiquées dans le fichier de configuration, et permet l'accès à des informations d'annuaire qui ne devraient pas être accessibles.
Solution
La version 3.2.1 du canal annuaire corrige les problèmes identifiés.
Il est fortement recommandé d'effectuer la mise à jour vers la version 3.2.1 ou ultérieure très rapidement.
...