Sécurité
Pages enfant
  • ESUP-2014-AVI-002 - Vulnérabilité dans uPortal

Comparaison des versions

Ancienne version 1

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version 2

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Objet

Vulnérabilité dans uPortal

Référence

ESUP-2014-AVI-002

Date de la première version

26 août 2014

Date de la dernière version

26 août 2014

Source

liste de diffusion uportal-user du consortium JASIG

Diffusion de cette version

Coordination technique

Historique

  • 21 août 2014 : réception de la faille CVE-2014-5059 sur uportal-user
  • 25 août 2014 : prise en compte et validation de la faille sur un uPortal V4 (Pascal Rigaux)
  • 25 août 2014 : validation de la solution proposée sur un uPortal V4 (Pascal Rigaux)
  • 26 août 2014 : rédaction de la première version de cet avis (Vincent Bonamy)
  • xx août 2014 : mise en ligne d'un correctif pour le packaging EsupV4 -> uportal-4.0.15-esup-1 (Vincent Bonamy)
  • xx août 2014 : envoi de l'avis de sécurité à securite@esup-portail.org
  • xx août 2014 : envoi de l'avis de sécurité à esup-utilisateurs@esup-portail.org

Planning prévisionnel

-

Pièces jointes

-

Risque

  • NUsurpation d'identité : n'importe quel utilisateur connecté peut s'authentifier sur l'ensemble de l'ENT sur (socle et portlets associées) sous le compte d'une autre personne.
  • Récupération et modifications d'information personnelle par un autre utilisateur connecté ; selon les services inclus directement dans le socle : mails, espace de stockage, dossier personnel, etc...
  • Connexion La connexion en tant qu'admin dans l'ENT et modification de celui-ci est donc possible en connaissant le login d'un admin.
  • etc. ....

Systèmes affectés

  • A priori Toutes les distributions du socle uPortal et Esup-uPortal 
  • Correction faite en uportal-4.0.15 - uportal-4.0.15-esup-1 pour le packaging ESUP

...

Un utilisateur capable de s'authentifier sur le CAS de l'établissement peut s'identifier sur l'ENT sous un autre login simplement via la construction et l'invocation d'une url (comportant notamment le login ciblé).  

...