Child pages
  • ESUP-2007-AVI-004 - Vulnérabilité dans le serveur WebDav

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migrated to Confluence 4.0

Utilisation et diffusion de ce document

Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.

Objet

Vulnérabilité dans le serveur WebDav

Référence

ESUP-2007-AVI-004

Date de la première version

8 novembre 2007

Date de la dernière version

27 novembre 2007

Source

liste de diffusion slide-user@jakarta.apache.org du projet Apache

Diffusion de cette version

Publique

Historique

  • 2 novembre 2007 : réception de la vulnérabilité
  • 5 novembre 2007 : validation de la vulnérabilité sur le package esupwebdav-srv distribué par le consortium ESUP-Portail (Vincent Bonamy et Raymond Bourges)
  • 5 novembre 2007 : constatation que le patch proposé par le commiter slide réduit les fonctionnalités du produit sur une commande WebDAV de type LOCK (Vincent Bonamy et Raymond Bourges)
  • 5 novembre 2007 : constatation que la faille de sécurité existe aussi sur une commande WebDAV de type PROPPATCH et n'est pas corrigée par le patch proposé par le commiter Slide (Vincent Bonamy et Raymond Bourges)
  • 6 novembre 2007 : recherche d'une solution de patch ne limitant pas les fonctionnalités du produit et comblant la faille pour les commandes LOCK et PROPPATCH (Vincent Bonamy et Raymond Bourges)
  • 8 novembre 2007 : développement du patch (Raymond Bourges)
  • 8 novembre 2007 : validation du correctif (Vincent Bonamy et Raymond Bourges)
    8 novembre 2007 : mise en ligne d'un nouveau correctif sous forme d'un patch pour la version 3.5 et d'une nouvelle version RC5 pour la version 5.2
  • 9 novembre 2007 : envoi du correctif aux correspondants sécurité du consortium ESUP-Portail (après relecture par Pascal AUBRY)
  • 27 novembre 2007 : annonce publique de la vulnérabilité par les consortiums ESUP-Portail

Pièces jointes

ESUP-2007-AVI-004-COR.zip

...