Sécurité
Pages enfant
  • ESUP-2025-AVI-001 - Vulnérabilité dans esup-otp-cas

Comparaison des versions

Ancienne version 5

changes.mady.by.user Vincent Bonamy

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user Vincent Bonamy

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Objet

Vulnérabilité dans esup-otp-cas

Référence

ESUP-2025-AVI-001

Date de la première version

15 janvier 2025

Date de la dernière version

15 janvier 2025

Source

INSA de Rennes

Diffusion de cette version

Communauté ESUP-PortailPublique

Historique

  • 13 janvier 2025 : réception de la faille via l'INSA de Rennes (Florian Nari)
  • 13 janvier 2025 : reproduction de l'exploit
  • 13 janvier 2025 : correction d'esup-otp-cas (Vincent Bonamy, Florian Nari, Pascal Rigaux)
  • 14 janvier 2025 : publication des correctifs esup-otp-cas pour CAS 6.6.x, 7.0.x, 7.1.x
  • 14 janvier 2025 : envoi d'un mail individuel aux contacts établissements identifiés comme utilisateur d'esup-otp
  • 15 janvier 2025 : rédaction de l'avis ESUP-2025-AVI-001

Planning prévisionnel

Planning prévisionnel

-

Pièces jointes

-

Risque

  • Possbilité de contourner la demande de code OTP dans esup-otp-cas 

  • L'exploitation de cette vulnérabilité pourrait permettre à un attaquant ayant déjà réussi à obtenir le mot de passe d'un utilisateur de passer outre l'OTP.

...

Une vulnérabilité a été découverte dans le module esup-otp-cas, logiciel utilisé pour l’authentification double facteur dans Apereo CAS.
Cette vulnérabilité permet à un attaquant de ne pas avoir besoin de rentrer un code OTP dans esup-otp-cas pour valider l'authentification lors du facteur esup-otp.

...

 Les administrateurs système sont fortement encouragés à mettre à jour esup-otp-cas vers la version 1.2.3 ou ultérieure pour corriger qui corrige ce problème.

Pour mettre à jour esup-otp-cas sur un serveur CAS 7.1.x par exemple, modifiez/adaptez la ligne suivante du fichier build.gradle du serveur CAS :

Bloc de code
implementation " org.esup-portail:esup-otp-cas:v1.2.3-cas_v7.1.x"

...