Pages enfant
  • ESUP-2014-AVI-002 - Vulnérabilité dans uPortal

Vous regardez une version antérieure (v. /wiki/pages/viewpage.action?pageId=417464323) de cette page.

afficher les différences afficher l'historique de la page

Vous regardez la version actuelle de cette page. (v. 1) afficher la version suivante »

Utilisation et diffusion de ce document

Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.

Objet

Vulnérabilité dans uPortal

Référence

ESUP-2014-AVI-002

Date de la première version

26 août 2014

Date de la dernière version

26 août 2014

Source

liste de diffusion uportal-user du consortium JASIG

Diffusion de cette version

Coordination technique

Historique

  • 21 août 2014 : réception de la faille CVE-2014-5059 sur uportal-user
  • 25 août 2014 : prise en compte et validation de la faille sur un uPortal V4 (Pascal Rigaux)
  • 25 août 2014 : validation de la solution proposée sur un uPortal V4 (Pascal Rigaux)
  • 26 août 2014 : rédaction de la première version de cet avis (Vincent Bonamy)
  • xx août 2014 : mise en ligne d'un correctif pour le packaging EsupV4 -> uportal-4.0.15-esup-1 (Vincent Bonamy)
  • xx août 2014 : envoi de l'avis de sécurité à securite@esup-portail.org
  • xx août 2014 : envoi de l'avis de sécurité à esup-utilisateurs@esup-portail.org

Planning prévisionnel

-

Pièces jointes

-

Risque

  • N'importe quel utilisateur connecté peut s'authentifier sur l'ensemble de l'ENT sur le compte d'une autre personne.
  • Récupération et modifications d'information personnelle par un autre utilisateur connecté : mails, espace de stockage, dossier personnel, etc.
  • Connexion en tant qu'admin dans l'ENT et modification de celui-ci
  • etc. ....

Systèmes affectés

  • Toutes les distributions du socle uPortal et Esup-uPortal 
  • Correction faite en uportal-4.0.15 - uportal-4.0.15-esup-1 pour le packaging ESUP

Description

Un utilisateur capable de s'authentifier sur le CAS de l'établissement peut s'identifier sous un autre login simplement via la construction et l'invocation d'une url (comportant notamment le login ciblé).  

L'alerte concerne au moins les uPortal en 3.x et 4.x antérieurs au 21 Août 2014 (antérieurs à 4.0.15 / 4.1.1), et certainement les versions 2.x et inférieures également. 

Elles concernent les uPortal utilisant l'authentification CAS avec une configuration classique de celle-ci : cela concerne donc la majorité des ENT EsupPortail.

Solution

La version  uportal-4.0.15-esup-1 pour le package Esup corrige le problème. Si vous gérez votre ENT via Git, vous devriez ainsi pouvoir faire une mise à jour assez rapidement (git pull ou git merge puis redéploiement et redémarrage).

Une solution de contournement est également possible en modifiant simplement le fichier security.properties (chemin uportal-war/src/main/resources/properties/security.properties pour uPortal 4.x) : 

En lieu et place de 

principalToken.root=userName
credentialToken.root=password
credentialToken.root.cas=ticket

mettre

principalToken.root=
credentialToken.root=
principalToken.root.simple=userName
credentialToken.root.simple=password
credentialToken.root.cas=ticket

Liens

 

  • Aucune étiquette