Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet | Vulnérabilité dans uPortal |
Référence | ESUP-2014-AVI-002 |
Date de la première version | 26 août 2014 |
Date de la dernière version | 26 août 2014 |
Source | liste de diffusion uportal-user du consortium JASIG |
Diffusion de cette version | Coordination technique |
Historique |
|
Planning prévisionnel | - |
Pièces jointes | - |
Un utilisateur capable de s'authentifier sur le CAS de l'établissement peut s'identifier sous un autre login simplement via la construction et l'invocation d'une url (comportant notamment le login ciblé).
L'alerte concerne au moins les uPortal en 3.x et 4.x antérieurs au 21 Août 2014 (antérieurs à 4.0.15 / 4.1.1), et certainement les versions 2.x et inférieures également.
Elles concernent les uPortal utilisant l'authentification CAS avec une configuration classique de celle-ci : cela concerne donc la majorité des ENT EsupPortail.
La version uportal-4.0.15-esup-1 pour le package Esup corrige le problème. Si vous gérez votre ENT via Git, vous devriez ainsi pouvoir faire une mise à jour assez rapidement (git pull ou git merge puis redéploiement et redémarrage).
Une solution de contournement est également possible en modifiant simplement le fichier security.properties (chemin uportal-war/src/main/resources/properties/security.properties pour uPortal 4.x) :
En lieu et place de
principalToken.root=userName credentialToken.root=password credentialToken.root.cas=ticket |
mettre
principalToken.root= credentialToken.root= principalToken.root.simple=userName credentialToken.root.simple=password credentialToken.root.cas=ticket |
Liens