Pages enfant
  • ESUP-2014-AVI-002 - Vulnérabilité dans uPortal

Comparaison des versions

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Bloc de code
principalToken.root=
credentialToken.root=
principalToken.root.simple=userName
credentialToken.root.simple=password

Solution détaillée pour les différentes versions de esup-uPortal

esup-uPortal 4.x

La version uportal-4.0.15-esup-1 pour le package Esup corrige le problème. Si vous gérez votre ENT via Git, vous devriez ainsi pouvoir faire une mise à jour assez rapidement (git pull ou git merge puis redéploiement et redémarrage).

...

Bloc de code
languagediff
--- update/uPortal/uportal-impl/src/main/resources/properties/security.properties
+++ update/uPortal/uportal-impl/src/main/resources/properties/security.properties
@@ -42,8 +42,10 @@ root.remote=org.jasig.portal.security.provider.RemoteUserSecurityContextFactory
 
 ## Answers what tokens are examined in the request for each context during authentication.
 ## A subcontext only needs to set its tokens if it differs from those of the root context.
-principalToken.root=userName
-credentialToken.root=password
+principalToken.root=
+credentialToken.root=
+principalToken.root.simple=userName
+credentialToken.root.simple=password
 @esup.db.auth.comment@credentialToken.root.cas=ticket
 
 ## Answers where the user will be redirected when log out occurs. Each security context can have one.

Il faut ensuite faire

Bloc de code
languagebash
ant init deploy

Puis redémarrer tomcat.

esup-uPortal 2.6.x

Le fichier a modifier est update/uPortal/properties/security.properties ou custom/uPortal/properties/security.properties :

Bloc de code
languagediff
--- update/uPortal/properties/security.properties~      2009-12-10 14:59:10.000000000 +0100
+++ update/uPortal/properties/security.properties       2014-08-26 15:23:03.798027998 +0200
@@ -53,8 +53,10 @@
 
 # Answers what tokens are examined in the request for each context during authentication.
 # A subcontext only needs to set it's tokens if it differs from those of the root context.
-principalToken.root=userName
-credentialToken.root=password
+principalToken.root=
+credentialToken.root=
+principalToken.root.simple=userName
+credentialToken.root.simple=password
 
 # Answers where the user will be redirected when log out occurs. Each security context can have one.
 # (See comments in the LogoutServlet class)

Il faut ensuite faire

Bloc de code
languagebash
ant init deploy

...