Sécurité
Pages enfant
  • ESUP-2009-AVI-004 - Vulnérabilité dans uPortal

Comparaison des versions

Ancienne version 2

changes.mady.by.user utilisateur-7e739

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user utilisateur-7e739

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: Migrated to Confluence 5.3

Utilisation et diffusion de ce document

Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.

Objet

Vulnérabilité dans uPortal

Référence

ESUP-2009-AVI-004

Date de la première version

10 décembre 2009

Date de la dernière version

10 décembre 2009 

Source

liste de diffusion uportal-user du consortium JASIG

Diffusion de cette version

Publique

Historique

  • 8 décembre 2009 : réception de la vulnérabilité
  • 10 décembre 2009 : diffusion de l'avis de sécurité aux correspondants sécurité du consortium ESUP-Portail (Julien Marchal)

Pièces jointes

ESUP-2008-AVI-001-COR.zip

Risque

Injection SQL

Systèmes affectés

  • Toutes les distributions uPortal depuis la version 3.X, 2.6
  • Toutes les distributions uPortal-esup (basées sur uPortal 2.6 et 3.1) 

Résumé

La vulnérabilité n'est pas considéré comme grave parce qu'elle n'est accessible que via l'interface Channel Manager qui est limité aux administrateurs de portail.
Dans une installation uPortal normal, il n'y a aucun moyen pour un utilisateur non administrateur d'exécuter le code concerné.

Description

Un pirate peut introduire du code Javascript arbitraire dans le rendu de uPortal s'il fait ouvrir par le navigateur client une URL du portail malicieusement construite. Les possibilités d'attaque par le code Javascript incluent notamment la capture de l'identifiant de session, autorisant alors l'usurpation de l'identité de l'utilisateur.

Solution

Pour la version 2.6 appliquer le patch fournit en fichier joint : RDBMChannelRegistryStore.java.patch

La non utilisation de la servlet HttpProxyServlet était déjà recommandée par l'avis de sécurité ESUP-2007-AVI-001 - Vulnérabilité dans uPortal. Les exploitants qui n'utilisent pas cette servlet doivent vérifier qu'elle est bien commentée dans les fichiers /WEB-INF/web.xml de leurs instances de production.

Si la servlet est utilisée, ou qu'elle pourrait être utilisée, et que vous utilisez une version 2.6 ou plus, il faut alors remplacer le fichier source/org/jasig/portal/HttpProxyServlet.java par la version fournie dans le correctif ESUP-2008-AVI-001-COR.zip, puis redémarrer Tomcat.De nouveau package esup-dlm-2.6 sont disponibles : a partir de la version esup-2.6-esup-2.0.6.tar.gz et esupdev-2.6-esup-2.0.6.tar.gz (http://sourcesup.cru.fr/frs/?group_id=173

Remarque
titleSolution pour uPortal 23.5X

Dans le cas d'une version 2.5, vous devez obligatoire commenter la servlet  HttpProxyServlet dans /WEB-INF/web.xml3.X étant donné ça nouveauté, le nouveau package incluera la patch.

Liens

...

[uportal-user

...

]

...

uPortal

...

Security

...

Announcement

by Eric Dalquist <eric.dalquist@doit.wisc.edu>

...