Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet |
Vulnérabilité dans le service d'authentification CAS |
Référence |
ESUP-2007-AVI-002 |
Date de la première version |
4 juillet 2007 |
Date de la dernière version |
3 septembre 2007 |
Source |
interne |
Diffusion de cette version |
Publique |
Historique |
|
Pièces jointes |
Usurpation de l'identité des utilisateurs.
Tous les serveurs CAS distribués par l'université de Yale, jusqu'à la version 2.0.12 incluse :
Toutes les distributions esup-cas-quick-start et esup-cas-server du consortium ESUP-Portail, jusqu'à la version 2.0.7 incluse :
Une vulnérabilité dans le serveur CAS permet via une attaque de type Cross Site Scripting (XSS) d'usurper l'identité des utilisateurs.
Il est possible, en passant certaines valeurs au paramètre service de la page d'authentification du serveur CAS, de voler le cookie d'authentification (Ticket Granting Cookie)
L'administrateur du serveur CAS devra utiliser l'une des trois méthodes ci-dessous.
Méthode 1a (pour les utilisateurs de la distribution cas-server de l'université de Yale) : utiliser la version 2.0.12c, incluse dans le correctif ESUP-2007-AVI-002-COR.zip.
Méthode 1b (pour les utilisateurs d'une des distributions esup-cas-server ou esup-cas-quickstart du consortium ESUP-Portail) : utiliser la version 2.1.2, téléchargeable sur http://esupcasgeneric.sourceforge.net.
Ecraser la classe edu.yale.its.tp.cas.servlet.Login.java en la remplaçant par celle trouvée dans le correctif ESUP-2007-AVI-002-COR.zip.
Modifier la page /web/goService.jsp pour supprimer les caractères '<' et '>' du paramètre service (un exemple de page JSP goService.jsp est inclus dans le correctif ESUP-2007-AVI-002-COR.zip).