Utilisation et diffusion de ce document
Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet | Vulnérabilité dans uPortal |
Référence | ESUP-2007-AVI-001 |
Date de la première version | 25 juillet 2007 |
Date de la dernière version | 3 septembre 2007 |
Source | liste de diffusion jasig-members du consortium JASIG |
Diffusion de cette version | Publique |
Historique |
|
Pièces jointes |
Risque
Usurpation de l'identité des utilisateurs dans uPortal par récupération de l'identifiant de session.
...
Installer les classes du correctif ESUP-2007-AVI-001-COR.zipdans les sources de uPortal. Le correctif est situé sur l'espace de documents de la liste securite@esup-portail.org (http://listes.esupportail.org/sympa/d_read/securite/)
- Positionner la propriété org.jasig.portal.serialize.ProxyWriter.resource_proxy_enabled du fichier portal.properties à off.
- Commenter ou supprimer la servlet HttpProxyServlet dans le fichier WEB-INF/web.xml
- Redéployer uPortal
- Redémarrer Tomcat
...