...
Objet | Vulnérabilité dans uPortal |
Référence | ESUP-2007-AVI-003 |
Date de la première version | 25 juillet 2007 |
Date de la dernière version | 16 octobre 2007 |
Source | liste de diffusion jasig-members du consortium JASIG |
Diffusion de cette version | Publique |
Historique | - 25 juillet 2007 : réception de la vulnérabilité
- 27 juillet 2007 : validation de la vulnérabilité sur le package uPortal-esup
par le consortium ESUP-Portail (Julien MARCHAL) - 31 juillet 2007 : accord de Bill THOMSON pour repousser l'annonce
publique de la vulnérabilité au 15 août (à la place du 8 août) - 3 août 2007 : test du patch proposé et retour (négatif, ne marche que
pour uPortal 2.6) à Bill THOMSON (Vincent MATHIEU) - 6 août 2007 : diffusion de la vulnérabilité aux correspondants sécurité du consortium ESUP-Portail
- 15 août 2007 : mise en ligne d'un nouveau correctif (Susan BRAMHALL)
- 18 août 2007 : validation du nouveau correctif (Vincent MATHIEU)
- 21 août 2007 : envoi du correctif aux correspondants sécurité du
consortium ESUP-Portail - 30 août 2007 : annonce de la nouvelle date de la diffusion publique 'Bill
THOMSON) - 16 octobre 2007 : annonce publique et simultanée de la vulnérabilité par
les consortiums JASIG et ESUP-Portail
|
Pièces jointes | ESUP-2007-AVI-002003-COR.zip
|
Risque
Usurpation de l'identité des utilisateurs dans uPortal par récupération de l'identifiant de session.
...
Solution
- Installer les classes du correctif correctif ESUP-2007-AVI-003-COR.zip dans les sources de uPortal. Le correctif peut être téléchargé depuis le site web du consortium ESUP-Portail (http://www.esupportail.org)
- Positionner la propriété
org.jasig.portal.serialize.ProxyWriter.resource_proxy_enabled du fichier portal.properties à off. - Commenter ou supprimer la servlet HttpProxyServlet dans le fichier WEB-INF/web.xml
- Redéployer uPortal
- Redémarrer Tomcat
...