Utilisation et diffusion de ce document
Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet | Vulnérabilité dans le canal Annuaire |
Référence | ESUP-2010-AVI-01 |
Date de la première version | 4 mars 2010 |
Date de la dernière version | 4 mars 2010 |
Source | listes de diffusion supann-utilisateurs et esup-utilisateurs |
Diffusion de cette version | Publique |
Historique |
|
Planning prévisionnel |
|
Pièces jointes | aucune. |
Risque
Récupération automatique d'adresses mailélectroniques, ou d'autre informations d'annuaire non contrôlées.
Systèmes affectés
- Toutes les distributions du canal annuaire, jusque la version3version 3.1 incluse.
Description
Un accès direct en mode anonyme à une fiche utilisateur (url URL du genre http://ent.univ.fr/Guest?uP_fname=annu_public&id=toto) ne contrôle pas les restrictions indiquées dans le fichier de configuration, et permet l'accès à des informations d'annuaire qui ne devraient pas être accessibles.
Solution
La version3version 3.2 du canal annuaire corrige les problèmes identifiés.
...
En cas d'impossibilité de mise à jour rapide de ce canal, et vu la divulgation publique du problème, il est fortement conseillé de positionner la propriété "maxEntries" de la balise "request" des annuaires publiques publics à une valeur très faible.
Liens
- Téléchargement du canal annuaire : http://sourcesup.cru.fr/frs/?group_id=208