Utilisation et diffusion de ce document
Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet | Vulnérabilité dans esup-otp-cas |
Référence | ESUP-2025-AVI-001 |
Date de la première version | 15 janvier 2025 |
Date de la dernière version | 15 janvier 2025 |
Source | INSA de Rennes |
Diffusion de cette version | Communauté ESUP-Portail |
Historique |
|
Planning prévisionnel |
|
Pièces jointes | - |
Risque
Possbilité de contourner la demande de code OTP dans esup-otp-cas
Systèmes affectés
- Cette vulnérabilité affecte potentiellement toutes les versions d'esup-otp-cas installé sur un serveur Apereo CAS.
- Le serveur esup-otp-cas-server n'est pas concerné.
Description
Une vulnérabilité a été découverte dans l’application esup-otp-cas, logiciel utilisé pour l’authentification double facteur.
Cette vulnérabilité permet à un attaquant de ne pas avoir besoin de rentrer un code OTP dans esup-otp-cas pour valider l'authentification lors du facteur esup-otp.
Solutions
Mettre à jour esup-otp-cas :
Pour mettre à jour esup-otp-cas sur un serveur CAS 7.1.x par exemple, modifiez/adaptez la ligne suivante du fichier build.gradle du serveur CAS :
implementation " org.esup-portail:esup-otp-cas:v1.2.3-cas_v7.1.x"
et redéployez.
Cf https://github.com/EsupPortail/esup-otp-cas/blob/master/README.md
Applications concernées
Apereo CAS avec esup-otp-cas d'installé.