Utilisation et diffusion de ce document
Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet | Vulnérabilité dans les clients CAS |
Référence | ESUP-2014-AVI-003 |
Date de la première version | 26 août 2014 |
Date de la dernière version | 26 août 2014 |
Source | liste de diffusion uportal-user du consortium JASIG |
Diffusion de cette version | Coordination technique |
Historique |
|
Planning prévisionnel | - |
Pièces jointes | - |
Risque
- Usurpation d'identité sur un service cassifié.
Systèmes affectés
- Applications cassifiées avec des librairies clientes CAS ne prenant pas en compte ce type d'attaque.
- Selon CVE-2014-4172 :
Affected Software
----------------------------------------
Jasig Java CAS Client
Vulnerable versions: <3.3.2
Fix version: 3.3.2, http://search.maven.org/#browse%7C1586013685
.NET CAS Client
Vulnerable versions: <1.0.2
Fix version: 1.0.2,
http://downloads.jasig.org/cas-clients/dotnet/dotnet-client-1.0.2-bin.zip
phpCAS
Vulnerable versions: <1.3.3
Fix version: 1.3.3,
http://downloads.jasig.org/cas-clients/php/1.3.3/CAS-1.3.3.tgz
- Concerne donc l'ENT EsupPortail, version < uportal-4.0.15 - uportal-4.0.15-esup-1 pour le packaging ESUP
Description
Une application extérieure (mise en place par le pirate) utilise le CAS de l'établissement comme mécanisme d'authentification (fonctionne si le CAS n'utilise pas de règles de filtrages sur les applications web cassifiées).
Un utilisateur va sur cette application (simple clique sur un lien) et fournit (après auth CAS) de fait un service ticket à cette application. Le pirate utilise ce service ticket pour s'authentifier (au nom de l'utilisateur) sur l'ENT (alors que le ticket était à destination de l'application du pirate : exploitation de la faille).
Solutions
La mise à jour des librairies clientes CAS est une bonne option. La mise à jour EsupPortail sur le tag uportal-4.0.15 permet également de corriger le problème (pour l'ENT EsupPortail).
La mise en place des listes blanches des applications cassifiés sur le CAS de l'établissement a déjà été fortement conseillée dans l'alerte ESUP-2011-AVI-A.
Enfin, la mise en place d'un filtre sur le serveur CAS pour éviter ce problème parait être une solution simple et efficace. L'équipe CAS a développé un tel filtre pour répondre à ce type d'attaques : https://github.com/Jasig/cas-server-security-filter
Liens
- Alerte mail sur cas-user : https://lists.wisc.edu/read/messages?id=3383693
- https://github.com/Jasig/cas-server-security-filter