Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet | Vulnérabilité dans uPortal |
Référence | ESUP-2014-AVI-001 |
Date de la première version | 24 mai 2014 |
Date de la dernière version | 24 mai 2014 |
Source | liste de diffusion uportal-user du consortium JASIG |
Diffusion de cette version | Correspondants sécurité du consortium ESUP-Portail |
Historique |
|
Planning prévisionnel | Envoi mail d'alerte à securite@esup-portail.org puis à esup-utilisateurs@esup-portail.org |
Pièces jointes | aucune. |
L'alerte concerne en fait 2 vulnérabilités. La première impacte effectivement les ENT V4 Esup en production.
On propose ici une description simplifiée (vulgarisée - comporte donc des "raccourcis" ~ imprécisions) du descriptif donné par Jasig.
https://lists.wisc.edu/read/messages?id=33298597
Vulnérabilité #1
Un utilisateur pouvant afficher une portlet a la possibilité d'utiliser le mode "config" de la portlet (en forgeant simplement l'url pour).
Le mode "config" présente un formulaire qui permet de reconfigurer la portlet.
Très peu de portlets proposent ce mode config. Nous en identifions actuellement 2 :
Vulnérabilité #2
Les utilisateurs pouvant administrer certaines portlets par délégation d'administration peuvent administrer toutes les portlets.
Dans les faits, il n'y a certainement aucun ENT qui utilise cette possibilité de délégation d'administration encore actuellement.
La version uportal-4.0.13.1 et uportal-4.0.13.1-esup-1 pour le package Esup corrige le problème. Si vous gérez votre ENT via Git, vous devriez ainsi pouvoir faire une mise à jour assez rapidement.
Vous pouvez aussi patcher uniquement les fichiers java uPortal en cause.
Pour la vulnérabilité #1 ceci est décrit ici :
https://gist.github.com/apetro/e56984a85f23d492c9c0#patch-application
et pour la vulnérabilité #2 - concerne pas (ou très peu) d'ENT :
https://gist.github.com/apetro/e49ece2ebc8ef0bdb31f#3-apply-the-fix-from-uportal-4014-as-a-patch-to-your-local-environment
Liens