Sécurité
Pages enfant
  • ESUP-2007-AVI-001 - Vulnérabilité dans uPortal

Comparaison des versions

Ancienne version 2

changes.mady.by.user Pascal Aubry

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user Pascal Aubry

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: Migrated to Confluence 4.0

Utilisation et diffusion de ce document

Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.http://www.esup-portail.org&nbsp
Objet  Vulnérabilité dans uPortal 
Référence 

Objet

Vulnérabilité dans uPortal

Référence

ESUP-2007-AVI-

...

001

Date de la première

...

version

25 juillet

...

2007

Date de la dernière

...

version

3 septembre 2007

Source

liste de diffusion jasig-members du consortium

...

JASIG

Diffusion de cette

...

version

Publique

Historique

  • 25 juillet 2007 : réception de la vulnérabilité
  • 27 juillet 2007 : validation de la vulnérabilité sur le package uPortal-esup par le consortium ESUP-Portail (Julien MARCHAL)
  • 31 juillet 2007 : accord de Bill Thomson pour repousser l'annonce publique de la vulnérabilité au 15 août (à la place du 8 août)
  • 3 août 2007 : test du patch proposé et retour (négatif, ne marche que pour uPortal 2.6) à Bill THOMSON (Vincent MATHIEU)
  • 6 août 2007 : diffusion de la vulnérabilité aux correspondants sécurité du consortium ESUP-Portail
  • 15 août 2007 : mise en ligne d'un nouveau correctif (Susan BRAMHALL)
  • 18 août 2007 : validation du nouveau correctif (Vincent MATHIEU)
  • 21 août 2007 : envoi du correctif aux correspondants sécurité du consortium ESUP-

...

  • Portail
  • 3 septembre 2007 : annonce

...

  • publique de la vulnérabilité

...

  • simultanément par les consortiums ESUP-Portail et JASIG

Pièces jointes

ESUP-2007-AVI-001-COR.

...

zip

Risque

Usurpation de l'identité des utilisateurs dans uPortal par récupération de l'identifiant de session.

...

Installer les classes du correctif ESUP-2007-AVI-001-COR.zipdans les sources de uPortal. Le correctif est situé sur l'espace de documents de la liste securite@esup-portail.org (http://listes.esup­portail.org/sympa/d_read/securite/)

  1. Positionner la propriété org.jasig.portal.serialize.ProxyWriter.resource_proxy_enabled du fichier portal.properties à off.
  2. Commenter ou supprimer la servlet HttpProxyServlet dans le fichier WEB-INF/web.xml
  3. Redéployer uPortal
  4. Redémarrer Tomcat

...