Utilisation et diffusion de ce document

Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.

Risque

• Possbilité de contourner la demande de code OTP dans esup-otp-cas 

• L'exploitation de cette vulnérabilité pourrait permettre à un attaquant ayant déjà réussi à obtenir le mot de passe d'un utilisateur de passer outre l'OTP.

Systèmes affectés

• Cette vulnérabilité affecte potentiellement toutes les versions d'esup-otp-cas installé sur un serveur Apereo CAS.
• Le serveur esup-otp-cas-server n'est pas concerné.

Description

Une vulnérabilité a été découverte dans le module esup-otp-cas, logiciel utilisé pour l’authentification double facteur dans Apereo CAS.
Cette vulnérabilité permet à un attaquant de ne pas avoir besoin de rentrer un code OTP dans esup-otp-cas pour valider l'authentification lors du facteur esup-otp.

Complexité d'exploitation

Faible, car l'attaquant peut exploiter la vulnérabilité sans compétences techniques particulières.

Conditions préalables 

Être authentifié avec identifiant et mot de passe.

Solutions

 Les administrateurs système sont fortement encouragés à mettre à jour esup-otp-cas vers la version 1.2.3 ou ultérieure qui corrige ce problème.

Pour mettre à jour esup-otp-cas sur un serveur CAS 7.1.x par exemple, modifiez/adaptez la ligne suivante du fichier build.gradle du serveur CAS :

implementation "org.esup-portail:esup-otp-cas:v1.2.3-cas_v7.1.x"

et redéployez.

Cf https://github.com/EsupPortail/esup-otp-cas/blob/master/README.md

Applications concernées

Apereo CAS avec esup-otp-cas d'installé.

Liens

• https://github.com/EsupPortail/esup-otp-cas
• https://www.apereo.org/programs/software/cas