Utilisation et diffusion de ce document
Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet | Vulnérabilité dans uPortal V4 |
Référence | ESUP-2014-AVI-001 |
Date de la première version | 24 mai 2014 |
Date de la dernière version | 24 mai 2014 |
Source | liste de diffusion uportal-user du consortium JASIG |
Diffusion de cette version | Correspondants sécurité du consortium ESUP-Portail |
Historique |
|
Planning prévisionnel | Envoi mail d'alerte à securite@esup-portail.org puis à esup-utilisateurs@esup-portail.org |
Pièces jointes | aucune. |
Risque
- Modification du contenu des pages des ENT (simple accès anonyme)
- Récupération d'informations personnelles (utilisateurs connectés)
- ....
Systèmes affectés
- Toutes les distributions 4.x du socle uPortal et Esup-uPortal
- correction faite en uportal-4.0.13.1 - uportal-4.0.13.1-esup-1 pour le packaging ESUP
Description
L'alerte concerne en fait 2 vulnérabilités. La première impacte effectivement les ENT V4 Esup en production. La deuxième ne devrait vraisemblablement impacter aucun ENT.
...
Dans les faits, il n'y a certainement aucun ENT qui utilise cette possibilité de délégation d'administration encore actuellement.
Solution
La version uportal-4.0.13.1 et uportal-4.0.13.1-esup-1 pour le package Esup corrige le problème. Si vous gérez votre ENT via Git, vous devriez ainsi pouvoir faire une mise à jour assez rapidement (git pull ou git merge puis redéploiement et redémarrage).
...