L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Jasig CAS Server

annonce de vulnérabilité 14512

Jasig CAS Server : contournement de l'authentification via Google Accounts Integration

Synthèse de la vulnérabilité

Un attaquant peut transmettre des données XML illicites à Jasig CAS Server utilisant Google Accounts Integration, afin de contourner l'authentification.
Produits concernés : CAS Server.
Gravité : 4/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/04/2014.
Références : VIGILANCE-VUL-14512.

Description de la vulnérabilité

Le standard SAML (Security Assertion Markup Language) utilise des données XML pour gérer l'authentification. Le produit Jasig CAS Server supporte SAML 2.0/Google Accounts Integration.

Un document XML peut contenir des déclarations. Cependant, le fichier java/org/jasig/cas/util/SamlUtils.java de Jasig CAS Server n'interdit pas ces déclarations avec "http://apache.org/xml/features/disallow-doctype-decl".

Les détails techniques concernant le biais d'attaque ne sont pas connus.

Un attaquant peut donc transmettre des données XML illicites à Jasig CAS Server utilisant Google Accounts Integration, afin de contourner l'authentification.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Jasig CAS Server :