Pages enfant
  • ESUP-2014-AVI-002 - Vulnérabilité dans uPortal

Comparaison des versions

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

  • Usurpation d'identité : n'importe quel utilisateur connecté peut s'authentifier sur l'ensemble de l'ENT (socle et portlets associées) sous le compte d'une autre personne.
  • Récupération et modifications modification d'information personnelle informations personnelles par un autre utilisateur connecté ; selon les services inclus directement dans le socle : mails, espace de stockage, dossier personnel, ...
  • La connexion en tant qu'admin dans l'ENT et modification de celui-ci est donc possible en connaissant le login d'un admin.
  • etc. ....

Systèmes affectés

  • A priori Toutes toutes les distributions du socle uPortal et Esup-uPortal 
  • Correction faite en uportal-4.0.15 - uportal-4.0.15-esup-1 pour le packaging ESUP

...

L'alerte concerne au moins les uPortal en 3.x et 4.x antérieurs au 21 Août 2014 (antérieurs à 4.0.15 / 4.1.1), et certainement les versions 2.x et inférieures également. 

Elles concernent Elle concerne les uPortal utilisant l'authentification CAS avec une configuration classique de celle-ci : cela concerne donc la majorité des ENT EsupPortail de notre communauté.

Solution

Modifiez votre fichier security.properties (cf la description détaillée du workaround par Jasig) :

...

esup-uPortal 3.2.x

Le fichier a à modifier est update/uPortal/uportal-impl/src/main/resources/properties/security.properties ou custom/uPortal/uportal-impl/src/main/resources/properties/security.properties :

...

esup-uPortal 2.6.x

Le fichier a à modifier est update/uPortal/properties/security.properties ou custom/uPortal/properties/security.properties :

...