Utilisation et diffusion de ce document
Les avis de sécurité du consortium ESUP-Portail portent sur des vulnérabilités des logiciels diffusés par le consortium. Il est de la responsabilité de chacun des destinataires de ce document de ne pas le rediffuser en dehors du cadre pour lequel il a été écrit, pour des raisons évidentes de sécurité des Systèmes d'Information de tous les établissements du consortium ESUP-Portail.
Objet |
Vulnérabilité dans esup-helpdesk |
Référence |
ESUP-2009-AVI-003 |
Date de la première version |
11 mars 2009 |
Date de la dernière version |
11 mars 2009 |
Source |
The Apache Software Foundation |
Diffusion de cette version |
Publique |
Historique |
|
Pièces jointes |
aucune. |
Risque
Usurpation de l'identité des utilisateurs par récupération des identifiants de session.
Systèmes affectés
- Toutes les distributions esup-helpdesk de 3.0.0 à 3.19.6.
Cette vulnérabilité peut également concerner les applications basées sur esup-commons qui utiliseraient les extensions MyFaces de la bibliothèque Tomahawk (cf ESUP-2009-AVI-002 - Vulnérabilité dans esup-commons).
Description
esup-helpdesk utilise les extensions de Apache MyFaces proposées par la bibliothèque Tomahawk.
La version 1.1.5 de cette librairie, utilisée par toutes les distributions de esup-helpdesk en version 3, comporte un trou de sécurité important permettant l'injection de code Javascript arbitraire.
Les possibilités d'attaque par Cross Site Scripting incluent notamment la capture de l'identifiant de session, autorisant alors l'usurpation de l'identité de l'utilisateur, elles sont décrites en détail sur le site de iDefense Labs.
Solution
La version 3.20.0 embarque la version 1.1.6 de la bibliothèque Tomahawk qui corrige la vulnérabilité (cf TOMAHAWK-983).
Il est fortement recommandé d'effectuer la mise à jour vers la version 3.20.0 ou ultérieure dès que possible.
Liens
- Téléchargement de esup-helpdesk : http://helpdesk.esup-portail.org
- Historique de l'application : ChangeLog