Sécurité
Pages enfant
  • ESUP-2025-AVI-001 - Vulnérabilité dans esup-otp-cas

Comparaison des versions

Ancienne version 2

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Objet

Vulnérabilité dans esup-otp-cas

Référence

ESUP-2025-AVI-001

Date de la première version

15 janvier 2025

Date de la dernière version

15 janvier 2025

Source

INSA de Rennes

Diffusion de cette version

Communauté ESUP-PortailPublique

Historique

  • 13 janvier 2025 : réception de la faille via l'INSA de Rennes (Florian Nari)
  • 13 janvier 2025 : reproduction de l'exploit
  • 13 janvier 2025 : correction d'esup-otp-cas (Vincent Bonamy, Florian Nari, Pascal Rigaux)
  • 14 janvier 2025 : publication des correctifs esup-otp-cas pour CAS 6.6.x, 7.0.x, 7.1.x
  • 14 janvier 2025 : envoi d'un mail individuel aux contacts établissements identifiés comme utilisateur d'esup-otp
  • 15 janvier 2025 : rédaction de l'avis ESUP-2025-AVI-001
Planning prévisionnel

Planning prévisionnel

-

Pièces jointes

-

Risque

  • Possbilité de contourner la demande de code OTP dans esup-otp-cas 

  • L'exploitation de cette vulnérabilité pourrait permettre à un attaquant ayant déjà réussi à obtenir le mot de passe d'un utilisateur de passer outre l'OTP.

Systèmes affectés

  • Cette vulnérabilité affecte potentiellement toutes les versions d'esup-otp-cas installé sur un serveur Apereo CAS.
  • Le serveur esup-otp-cas-server n'est pas concerné.

...

Une vulnérabilité a été découverte dans l’application le module esup-otp-cas, logiciel utilisé pour l’authentification double facteur dans Apereo CAS.
Cette vulnérabilité permet à un attaquant de ne pas avoir besoin de rentrer un code OTP dans esup-otp-cas pour valider l'authentification lors du facteur esup-otp.

Solutions

Complexité d'exploitation

Faible, car l'attaquant peut exploiter la vulnérabilité sans compétences techniques particulières.

Conditions préalables 

Être authentifié avec identifiant et mot de passe.

Solutions

 Les administrateurs système sont fortement encouragés à mettre Mettre à jour esup-otp-cas vers la version 1.2.3 ou ultérieure qui corrige ce problème.

Pour mettre à jour esup-otp-cas sur un serveur CAS 7.1.x par exemple, modifiez/adaptez la ligne suivante du fichier build.gradle du serveur CAS :

Bloc de code
implementation " org.esup-portail:esup-otp-cas:v1.2.3-cas_v7.1.x"

...