Utilisation et diffusion de ce document
Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet | Vulnérabilité dans uPortal |
Référence | ESUP-2008-AVI-001 |
Date de la première version | 18 juin 2008 |
Date de la dernière version | 4 juillet 2008 |
Source | liste de diffusion uportal-user du consortium JASIG |
Diffusion de cette version | Publique |
Historique |
|
Pièces jointes |
...
- Le ticket JIRA montrant la vulnérabilité : http://www.ja-sig.org/issues/browse/UP-2088
- La page du wiki JASIG décrivant la vulnérabilité et donnant les solutions : http://www.ja-sig.org/wiki/x/YhPP
...
by Andrew Petro < apetro@unicon.net >
June 17th 2008
uPortal adopters,
As you've likely seen on the JASIG announcement email list, uPortal 3.0.1 is now released. This release includes many improvements and Eric Dalquist and others are to be heartily congratulated.
It also includes a specific critical security fix for a vulnerability in HttpProxyServlet, which affects both uPortal 3.0.0 and uPortal 2.6.1 and earlier.
A patch is now available to fix this vulnerability in uPortal 2.6.
http://www.ja-sig.org/wiki/x/YhPP
If you are running the HttpProxyServlet (i.e., it is declared in web.xml), it is important that you apply this patch to secure from the risk of illicit proxies and cross-site-scripting through the vulnerability.
Thanks are especially due to Dustin Schultz, Eric Dalquist, and others for their efforts in identifying and resolving this vulnerability.
A uPortal 2.6.1.1 release (2.6.1 with this patch pre-applied) will be available for download shortly.
Best wishes,
Andrew