Pages enfant
  • ESUP-2014-AVI-004 - Vulnérabilité dans esup-uPortal (3.2.4)

Vous regardez une version antérieure (v. /wiki/pages/viewpage.action?pageId=426770444) de cette page.

afficher les différences afficher l'historique de la page

Vous regardez la version actuelle de cette page. (v. 1) afficher la version suivante »

Utilisation et diffusion de ce document

Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.

Objet

Vulnérabilité dans esup-uPortal-3.2.4

Référence

ESUP-2014-AVI-004

Date de la première version

2 oct 2014

Date de la dernière version

2 oct 2014

Source

liste de diffusion uportal-user du consortium JASIG

Diffusion de cette version

Publique

Historique

Planning prévisionnel

-

Pièces jointes

-

Risque

  • Usurpation d'identité sur un service cassifié.

Systèmes affectés

Description

Une application extérieure (mise en place par le pirate) utilise le CAS de l'établissement comme mécanisme d'authentification (fonctionne si le CAS n'utilise pas de règles de filtrages "whitelist" sur les applications web cassifiées). 
Un utilisateur va sur cette application (simple clic sur un lien par exemple) et fournit (après authentification CAS, qui se fait de manière transparente si une session CAS est déjà existante) de fait un service ticket à cette application. Le pirate utilise ce service ticket pour s'authentifier (au nom de l'utilisateur) sur l'ENT par proxy CAS : exploitation de la faille. 

Solutions

La mise en place des listes blanches des applications cassifiés sur le CAS de l'établissement a déjà été fortement conseillée dans l'alerte """ESUP-2014-AVI-003 - Vulnérabilité dans les clients CAS""" - elle permet à nouveau ici d'inhiber fortement cette faille.

Cette faille très spécifique résulte cependant simplement de l'ajout impromptu du paramètre acceptAnyProxy à true dans le filtre CAS du socle uPortal lui même défini dans le fichier web.xml. La solution est donc de simplement supprimer cette propriété acceptAnyProxy (qui prend alors la valeur par défaut donnée false).

Solution détaillée pour esup-uPortal 3.2.4

Il faut modifier le fichier web.xml en supprimant le bloc suivant  :

 

<init-param>
	<param-name>acceptAnyProxy</param-name>
	<param-value>true</param-value>
</init-param>

 

Liens

  • Aucune étiquette