Sécurité
Pages enfant
  • ESUP-2007-AVI-002 - Vulnérabilité dans le service d'authentification CAS

Comparaison des versions

Ancienne version 2

changes.mady.by.user Pascal Aubry

Sauvegardée le

comparé à

Nouvelle version 3

changes.mady.by.user Pascal Aubry

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Objet

Vulnérabilité dans le service d'authentification CAS

Référence

ESUP-2007-AVI-002

Date de la première version

4 juillet 2007

Date de la dernière version

3 septembre 2007

Source

interne

Diffusion de cette version

Publique

Historique

  • 4 juillet 2007 : réception de la vulnérabilité par la coordination technique
    du consortium ESUP-Portail
  • 5 juillet 2007 : validation de la vulnérabilité par le consortium ESUPPortail
    (Pascal AUBRY, Vincent MATHIEU, Julien MARCHAL)
  • 6 juillet 2007 : concertation avec les correspondants sécurité du
    consortium JASIG (security@jasig.org)
  • 9 juillet 2007 : validation de la vulnérabilité par l'université de Yale
    (Howard GILBERT)
  • 25 juillet 2007 : écriture du correctif et envoi à la coordination technique
    ESUP-Portail pour test (Howard GILBERT)
  • 16 août 2007 : retour négatif à Howard GILBERT (Raymond BOURGES)
  • 20 août 2007 : mise au point du correctif final et envoi à la coordination
    technique ESUP-Portail pour test (Howard GILBERT)
  • 22 août 2007 : validation du correctif final et intégration dans les
    distribution esup-cas-server et esup-cas-quick-start (Pascal
    AUBRY)
  • 23 août 2007 : diffusion simultanée par l'université de Yale et le
    consortium ESUP-Portail de l'avis à leurs correspondants sécurité
  • 3 septembre 2007 : annonce publique de la vulnérabilité

Pièces jointes

ESUP-2007-AVI-002-COR.zip

...

Toutes les distributions esup-cas-quick-start et esup-cas-server du consortium ESUP-Portail,
jusqu'à la version 2.0.7 incluse :

...

Une vulnérabilité dans le serveur CAS permet via une attaque de type Cross Site Scripting (XSS) d'usurper
l'identité des utilisateurs.

...

Il est possible, en passant certaines valeurs au paramètre service de la page d'authentification du
serveur CAS, de voler le cookie d'authentification (Ticket Granting Cookie)

...

Méthode 1a (pour les utilisateurs de la distribution cas-server de l'université de Yale) : utiliser la version
2.0.12c, incluse dans le correctif ESUP-2007-AVI-002-COR.zip.

Méthode 1b (pour les utilisateurs d'une des distributions esup-cas-server ou esup-cas-quickstart
du consortium ESUP-Portail) : utiliser la version 2.1.2, téléchargeable sur http://esupcasgeneric.sourceforge.net.

...

Ecraser la classe edu.yale.its.tp.cas.servlet.Login.java en la remplaçant par celle trouvée
dans le correctif ESUP-2007-AVI-002-COR.zip.

...

Modifier la page /web/goService.jsp pour supprimer les caractères '<' et '>' du paramètre service
(un exemple de page JSP goService.jsp est inclus dans le correctif ESUP-2007-AVI-002-COR.zip).