...
- Toutes les distributions uPortal depuis la version 3.X, 2.6
- Toutes les distributions uPortal-esup (basées sur uPortal 2.6 et 3.1)
Résumé
La vulnérabilité n'est pas considéré comme grave parce qu'elle n'est accessible que via l'interface Channel Manager qui est limité aux administrateurs de portail.
Dans une installation uPortal normal, il n'y a aucun moyen pour un utilisateur non administrateur d'exécuter le code concerné.
Description
Un pirate peut introduire du code Javascript arbitraire dans le rendu de uPortal s'il fait ouvrir par le navigateur client une URL du portail malicieusement construite. Les possibilités d'attaque par le code Javascript incluent notamment la capture de l'identifiant de session, autorisant alors l'usurpation de l'identité de l'utilisateur.
Solution
Pour la version 2.6 appliquer le patch fournit en fichier joint : RDBMChannelRegistryStore.java.patch
La non utilisation de la servlet HttpProxyServlet était déjà recommandée par l'avis de sécurité ESUP-2007-AVI-001 - Vulnérabilité dans uPortal. Les exploitants qui n'utilisent pas cette servlet doivent vérifier qu'elle est bien commentée dans les fichiers /WEB-INF/web.xml de leurs instances de production.
Si la servlet est utilisée, ou qu'elle pourrait être utilisée, et que vous utilisez une version 2.6 ou plus, il faut alors remplacer le fichier source/org/jasig/portal/HttpProxyServlet.java par la version fournie dans le correctif ESUP-2008-AVI-001-COR.zip, puis redémarrer Tomcat.De nouveau package esup-dlm-2.6 sont disponibles : a partir de la version esup-2.6-esup-2.0.6.tar.gz et esupdev-2.6-esup-2.0.6.tar.gz (http://sourcesup.cru.fr/frs/?group_id=173
Remarque | ||
---|---|---|
| ||
Dans le cas d'une version 2.5, vous devez obligatoire commenter la servlet HttpProxyServlet dans /WEB-INF/web.xml3.X étant donné ça nouveauté, le nouveau package incluera la patch. |
Liens
- Le ticket JIRA montrant la vulnérabilité : http://www.ja-sig.org/issues/browse/UP-2515 http://www.ja-sig.org/issues/browse/UP-2088
- http://www.ja-sig.org/wiki/x/YhPP
...