L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Apereo Central Authentication Service Java Client

annonce de vulnérabilité informatique CVE-2014-4172

Jasig CAS : contournement du contrôle d'accès

Synthèse de la vulnérabilité

Un attaquant peut utiliser une URL spécialement mal formée afin de contourner les règles de contrôles d'accès aux services.
Produits concernés : CAS Client Java, Debian, Fedora.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits client, lecture de données, création/modification de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/08/2014.
Références : CVE-2014-4172, DSA-3017-1, FEDORA-2014-9662, RHSA-2015:1009, VIGILANCE-VUL-15147.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Jasig CAS.

Un client attaquant ayant une autorisation d'accès à un serveur, peut l'utiliser pour accéder à un autre serveur normalement inaccessible, afin d'élever ses privilèges. [grav:3/4]

Un serveur attaquant peut utiliser l'autorisation d'un client pour lui-même pour accéder à un autre serveur au nom de ce client. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Apereo Central Authentication Service Java Client :