Child pages
  • ESUP-2008-AVI-001 - Vulnérabilité dans uPortal

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Objet

Vulnérabilité dans uPortal

Référence

ESUP-2008-AVI-A

Date de la première version

18 juin 2008

Date de la dernière version

18 juin 2008

Source

liste de diffusion uportal-user du consortium JASIG

Diffusion de cette version

Restreinte aux correspondants sécurité du consortium ESUP-Portail

Historique

  • 17 juin 2008 : réception de la vulnérabilité
  • 18 juin 2008 : diffusion de l'avis de sécurité aux correspondants sécurité du consortium ESUP-Portail

Planning prévisionnel

  • 30 juin 2008 : diffusion publique de la vulnérabilité

Pièces jointes

ESUP-2008-AVI-A-COR.zip

Risque

Usurpation de l'identité des utilisateurs dans uPortal par récupération de l'identifiant de session.

...

Si la servlet est utilisée, ou qu'elle pourrait être utilisée, il faut alors remplacer le fichier source/org/jasig/portal/HttpProxyServlet.java par la version fournie dans le correctif ESUP-2008-AVI-A-COR.zip, puis redémarrer Tomcat.

...