Sécurité
Pages enfant
  • ESUP-2025-AVI-001 - Vulnérabilité dans esup-otp-cas

Vous regardez une version antérieure (v. /wiki/spaces/SECU/pages/1513684998/ESUP-2025-AVI-001+-+Vuln%C3%A9rabilit%C3%A9+dans+esup-otp-cas) de cette page.

afficher les différences afficher l'historique de la page

« Afficher la version précédente Vous regardez la version actuelle de cette page. (v. 4) afficher la version suivante »

Utilisation et diffusion de ce document

Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.

Objet

Vulnérabilité dans esup-otp-cas

Référence

ESUP-2025-AVI-001

Date de la première version

15 janvier 2025

Date de la dernière version

15 janvier 2025

Source

INSA de Rennes

Diffusion de cette version

Communauté ESUP-Portail

Historique

  • 13 janvier 2025 : réception de la faille via l'INSA de Rennes (Florian Nari)
  • 13 janvier 2025 : reproduction de l'exploit
  • 13 janvier 2025 : correction d'esup-otp-cas (Vincent Bonamy, Florian Nari, Pascal Rigaux)
  • 14 janvier 2025 : publication des correctifs esup-otp-cas pour CAS 6.6.x, 7.0.x, 7.1.x
  • 14 janvier 2025 : envoi d'un mail individuel aux contacts établissements identifiés comme utilisateur d'esup-otp
  • 15 janvier 2025 : rédaction de l'avis ESUP-2025-AVI-001

Planning prévisionnel

Pièces jointes

-

Risque

  • Possbilité de contourner la demande de code OTP dans esup-otp-cas 

  • L'exploitation de cette vulnérabilité pourrait permettre à un attaquant ayant déjà réussi à obtenir le mot de passe d'un utilisateur de passer outre l'OTP.

Systèmes affectés

  • Cette vulnérabilité affecte potentiellement toutes les versions d'esup-otp-cas installé sur un serveur Apereo CAS.
  • Le serveur esup-otp-cas-server n'est pas concerné.

Description

Une vulnérabilité a été découverte dans l’application esup-otp-cas, logiciel utilisé pour l’authentification double facteur.
Cette vulnérabilité permet à un attaquant de ne pas avoir besoin de rentrer un code OTP dans esup-otp-cas pour valider l'authentification lors du facteur esup-otp.

Complexité d'exploitation

Faible, car l'attaquant peut exploiter la vulnérabilité sans compétences techniques particulières.

Conditions préalables 

Être authentifié avec identifiant et mot de passe.

Solutions

 Les administrateurs système sont fortement encouragés à mettre à jour esup-otp-cas vers la version 1.2.3 ou ultérieure pour corriger ce problème.

Pour mettre à jour esup-otp-cas sur un serveur CAS 7.1.x par exemple, modifiez/adaptez la ligne suivante du fichier build.gradle du serveur CAS :

implementation " org.esup-portail:esup-otp-cas:v1.2.3-cas_v7.1.x"

et redéployez.

Cf https://github.com/EsupPortail/esup-otp-cas/blob/master/README.md

Applications concernées

Apereo CAS avec esup-otp-cas d'installé.

Liens


  • Aucune étiquette