Sécurité
Pages enfant
  • ESUP-2010-AVI-001 - Vulnérabilité dans le canal annuaire

Comparaison des versions

Ancienne version 5

changes.mady.by.user utilisateur-57978

Sauvegardée le

comparé à

Nouvelle version 6

changes.mady.by.user utilisateur-57978

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Objet

Vulnérabilité dans le canal Annuaire 

Référence

ESUP-2010-AVI-01

Date de la première version

4 mars 2010

Date de la dernière version

4 mars 2010

Source

listes de diffusion supann-utilisateurs et esup-utilisateurs

Diffusion de cette version

Publique

Historique

  • 2 mars 2010 : découverte et diffusion de la vulnérabilité dans les listes supann-utilisateurs et esup-utilisateurs

Planning prévisionnel

  • 5 mars 2010 : diffusion de la version 3.2 du canal qui corrige la vulnérabilité
  • 6 mars 2010 : diffusion de la version 3.2.1 qui corrige un problème de déploiement du canal

Pièces jointes

aucune.

Risque

...

Un accès direct en mode anonyme à une fiche utilisateur (URL du genre http://ent.univ.fr/Guest?uP_fname=annu_public&id=toto) ne contrôle pas les restrictions indiquées dans le fichier de configuration, et permet l'accès à des informations d'annuaire qui ne devraient pas être accessibles.

Solution

La version 3.2.1 du canal annuaire corrige les problèmes identifiés.

Il est fortement recommandé d'effectuer la mise à jour vers la version 3.2.1 ou ultérieure très rapidement.

...