...
Objet | Vulnérabilité dans le service d'authentification CAS |
Référence | ESUP-2007-AVI-002 |
Date de la première version | 4 juillet 2007 |
Date de la dernière version | 3 septembre 2007 |
Source | interne |
Diffusion de cette version | Publique |
Historique |
|
Pièces jointes |
Risque
Usurpation de l'identité des utilisateurs.
...
Méthode 1a (pour les utilisateurs de la distribution cas-server de l'université de Yale) : utiliser la version
2.0.12c, incluse dans le correctif ^ESUP ESUP-2007-AVI-002-COR.zip.
Méthode 1b (pour les utilisateurs d'une des distributions esup-cas-server ou esup-cas-quickstart
du consortium ESUP-Portail) : utiliser la version 2.1.2, téléchargeable sur http://esupcasgeneric.sourceforge.net.
...
Ecraser la classe edu.yale.its.tp.cas.servlet.Login.java en la remplaçant par celle trouvée
dans le correctif ^ESUP ESUP-2007-AVI-002-COR.zip.
Méthode 3 : modifier le code JSP
Modifier la page /web/goService.jsp pour supprimer les caractères '<' et '>' du paramètre service
(un exemple de page JSP goService.jsp est inclus dans le correctif ESUP-2007-AVI-002-
COR.zip).