Utilisation et diffusion de ce document
Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet |
Vulnérabilité dans le canal Annuaire |
Référence |
ESUP-2010-AVI-001 |
Date de la première version |
4 mars 2010 |
Date de la dernière version |
8 mars 2010 |
Source |
listes de diffusion supann-utilisateurs et esup-utilisateurs |
Diffusion de cette version |
Publique |
Historique |
|
Pièces jointes |
aucune. |
Risque
Récupération automatique d'adresses électroniques, ou d'autre informations d'annuaire non contrôlées.
Systèmes affectés
- Toutes les distributions du canal annuaire, jusque la version 3.1 incluse.
Description
Un accès direct en mode anonyme à une fiche utilisateur (URL du genre http://ent.univ.fr/Guest?uP_fname=annu_public&id=toto) ne contrôle pas les restrictions indiquées dans le fichier de configuration, et permet l'accès à des informations d'annuaire qui ne devraient pas être accessibles.
Solution
La version 3.2.1 du canal annuaire corrige les problèmes identifiés.
Il est fortement recommandé d'effectuer la mise à jour vers la version 3.2.1 ou ultérieure très rapidement.
En cas d'impossibilité de mise à jour rapide de ce canal, et vu la divulgation publique du problème, il est fortement conseillé de positionner la propriété maxEntries de la balise request des annuaires publics à une valeur très faible.
Liens
- Téléchargement du canal annuaire : http://sourcesup.cru.fr/frs/?group_id=208