...
Objet | Vulnérabilité dans uPortal |
Référence | ESUP-2007-AVI-001 |
Date de la première version | 25 juillet 2007 |
Date de la dernière version | 3 septembre 2007 |
Source | liste de diffusion jasig-members du consortium JASIG |
Diffusion de cette version | Publique |
Historique | - 25 juillet 2007 : réception de la vulnérabilité
- 27 juillet 2007 : validation de la vulnérabilité sur le package uPortal-esup par le consortium ESUP-Portail (Julien MARCHAL)
- 31 juillet 2007 : accord de Bill Thomson pour repousser l'annonce publique de la vulnérabilité au 15 août (à la place du 8 août)
- 3 août 2007 : test du patch proposé et retour (négatif, ne marche que pour uPortal 2.6) à Bill THOMSON (Vincent MATHIEU)
- 6 août 2007 : diffusion de la vulnérabilité aux correspondants sécurité du consortium ESUP-Portail
- 15 août 2007 : mise en ligne d'un nouveau correctif (Susan BRAMHALL)
- 18 août 2007 : validation du nouveau correctif (Vincent MATHIEU)
- 21 août 2007 : envoi du correctif aux correspondants sécurité du consortium ESUP-Portail
- 3 septembre 2007 : annonce publique de la vulnérabilité simultanément par les consortiums ESUP-Portail et JASIG
|
Pièces jointes | ESUP-2007-AVI-001-COR.zip
|
Risque
Usurpation de l'identité des utilisateurs dans uPortal par récupération de l'identifiant de session.
...
Installer les classes du correctif ESUP-2007-AVI-001-COR.zipdans les sources de uPortal. Le correctif est situé sur l'espace de documents de la liste securite@esup-portail.org (http://listes.esupportail.org/sympa/d_read/securite/)
- Positionner la propriété org.jasig.portal.serialize.ProxyWriter.resource_proxy_enabled du fichier portal.properties à off.
- Commenter ou supprimer la servlet HttpProxyServlet dans le fichier WEB-INF/web.xml
- Redéployer uPortal
- Redémarrer Tomcat
...