Sécurité
Pages enfant
  • ESUP-2014-AVI-003 - Vulnérabilité dans les clients CAS

Comparaison des versions

Ancienne version 14

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version 15

changes.mady.by.user Pascal Rigaux

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

  • La mise à jour EsupPortail sur le tag uportal-4.0.15 permet de corriger le problème pour l'ENT EsupPortail par exemple
  • Autre exemple, si vous utilisez CAS comme "authentication provider" pour votre IDP shibboleth, une mise à jour de la bibliothèque cas-client-core-xxx.jar peut être faite simplement pour sécuriser votre IDP vis à vis de cette faille.
  • Plus généralement sur les applications Java utiliant utilisant la librairie cliente CAS Jasig, la mise à jour d'un cas-client-core-3.x.y.jar en cas-client-core-3.3.3.jar fixe le pb, de même que le passage sur spring-security 3.2.5.RELEASE (qui embarque cas-client-core-3.3.3.jar).

Solution détaillée pour esup-uPortal 3.x

Il faut modifier 2 fichiers pom.xml :

  • si vous n'avez pas de fichier custom/uPortal/pom.xml, créez le :
     

    Bloc de code
    cp update/uPortal/pom.xml custom/uPortal/pom.xml

 

  • puis faite la modification :

    Bloc de code
    languagediff
    --- custom/uPortal/pom.xml.old
+++ custom/uPortal/pom.xml
@@ -101,7 +101,7 @@
         <ant.version>1.7.1</ant.version>
         <aspectjrt.version>1.6.9</aspectjrt.version>
         <aspectjweaver.version>1.6.9</aspectjweaver.version>
-        <casclient.version>3.1.10</casclient.version>
+        <casclient.version>3.3.3</casclient.version>
         <cernunnos.version>1.2.1</cernunnos.version>
         <commons-cli.version>1.2</commons-cli.version>
         <commons-codec.version>1.4</commons-codec.version>
@@ -517,9 +517,15 @@
                 <version>${resource-aggregator.version}</version>
             </dependency>
             <dependency>
-                <groupId>org.jasig.cas</groupId>
+                <groupId>org.jasig.cas.client</groupId>
                 <artifactId>cas-client-core</artifactId>
                 <version>${casclient.version}</version>
+               <exclusions>
+                 <exclusion>
+                   <groupId>org.opensaml</groupId>
+                   <artifactId>opensaml</artifactId>
+                 </exclusion>
+               </exclusions>
             </dependency>
             <dependency>
                 <groupId>org.jasig.portal</groupId>

  • si vous n'avez pas de fichier custom/uPortal/pom.xml, créez le :

    Bloc de code
    cp Portail/uPortal*/uportal-impl/pom.xml custom/uPortal/uportal-impl/pom.xml

  • puis faite la modification :

    Bloc de code
    languagediff
    --- custom/uPortal/uportal-impl/pom.xml.old
+++ custom/uPortal/uportal-impl/pom.xml
@@ -96,11 +96,6 @@
                        <artifactId>esup-utils</artifactId>
                        <version>1.03</version>
                </dependency>                   
-               <dependency>
-                       <groupId>org.jasig.cas</groupId>
-                       <artifactId>cas-client-core</artifactId>
-                       <version>3.1.3</version>
-               </dependency>
 
         <!-- ***** Portal JDBC Driver *****
          | The groupId, artifactId and version are configured in the root POM.
@@ -118,7 +113,7 @@
         </dependency>
         
         <dependency>
-            <groupId>org.jasig.cas</groupId>
+            <groupId>org.jasig.cas.client</groupId>
             <artifactId>cas-client-core</artifactId>
         </dependency>

 

Liens

...