...
Elles concernent les uPortal utilisant l'authentification CAS avec une configuration classique de celle-ci : cela concerne donc la majorité des ENT EsupPortail.
Solution
Modifiez votre fichier security.properties (cf la description détaillée du workaround par Jasig) :
En lieu et place de
| Bloc de code |
|---|
principalToken.root=userName
credentialToken.root=password
|
mettre
| Bloc de code |
|---|
principalToken.root=
credentialToken.root=
principalToken.root.simple=userName
credentialToken.root.simple=password
|
esup-uPortal 4.x
La version uportalLa version uportal-4.0.15-esup-1 pour le package Esup corrige le problème. Si vous gérez votre ENT via Git, vous devriez ainsi pouvoir faire une mise à jour assez rapidement (git pull ou git merge puis redéploiement et redémarrage).Une solution de contournement est également possible en modifiant simplement le fichier security.properties (chemin uportal
Le correctif dans le code ferme la vulnératibilité pour CAS, nous vous conseillons fortement aussi de modifier le fichier uportal-war/src/main/resources/properties/security.properties .
| Bloc de code | ||
|---|---|---|
| ||
--- a/uportal-war/src/main/resources/properties/security.properties +++ b/uportal-war/src/main/resources/properties/security.properties |
...
En lieu et place de
| Bloc de code |
|---|
principalToken.root=userName credentialToken.root=password @@ -40,8 +40,10 @@ root.simple=org.jasig.portal.security.provider.SimpleSecurityContextFactory ## Answers what tokens are examined in the request for each context during authentication. ## A subcontext only needs to set its tokens if it differs from those of the root context. -principalToken.root=userName -credentialToken.root=password +principalToken.root= +credentialToken.root= +principalToken.root.simple=userName +credentialToken.root.simple=password credentialToken.root.cas=ticket |
mettre
## Answers where the user will be redirected when log out occurs. Each security context can have one. |
esup-uPortal 3.2.x
Le fichier a modifier est update/uPortal/uportal-impl/src/main/resources/properties/security.properties ou custom/uPortal/uportal-impl/src/main/resources/properties/security.properties :
| Bloc de code | ||
|---|---|---|
| ||
--- update/uPortal/uportal-impl/src/main/resources/properties/security.properties
+++ update/uPortal/uportal-impl/src/main/resources/properties/security.properties
@@ -42,8 +42,10 @@ root.remote=org.jasig.portal.security.provider.RemoteUserSecurityContextFactory
## Answers what tokens are examined in the request for each context during authentication.
## A subcontext only needs to set its tokens if it differs from those of the root context.
- | ||
| Bloc de code | ||
principalToken.root=userName -credentialToken.root=password +principalToken.root= +credentialToken.root= +principalToken.root.simple=userName +credentialToken.root.simple=password credentialToken @esup.db.auth.comment@credentialToken.root.cas=ticket ## Answers where the user will be redirected when log out occurs. Each security context can have one. |
Il faut ensuite faire
| Bloc de code | ||
|---|---|---|
| ||
ant init deploy |
Puis redémarrer tomcatDans tous les cas, nous vous conseillons fortement de modifier votre fichier security.properties dans ce sens (cf la description détaillée du workaround par Jasig). Les versions en uportal 4.0.15 et 4.1.1 contiennent d'ailleurs cette modification.
Liens
- Issue Jasig https://issues.jasig.org/browse/UP-4192
- Description détaillée du workaround (modification de security.properties) : http://apetro.ghost.io/uportal-cve-2014-5059-workaround/
- Annonce de la faille sur Jasig et correctifs :
...