Régression #18115
Informations de version (UI) et hash du chemin
Description
Depuis la version 21.03 de Maarch Courrier, il est affiché:
- la version de l'application
- le mode d'authentitification
Cela est une faille dé sécurité car un hacker qui tombe sur l'application possède la version et le tag de l'application Maarch et peut donc exploité une éventuelle faille de sécurité beaucoup plus facilement.
Il en est de même pour le mode d'authentification car c'est une information permettant d'exploiter une éventuelle faille de sécurité.
Il est donc nécessaire de remettre comme avant en 20.10 et les anciennes versions ou trouver une autre solution.
Autre point, la route rest/authenticationInformations fournir les informations ci-dessus sans mot de passe . Cela est donc une faille de sécurité.
Ces points sont remontés par l'audit de sécurité de la caisse des dépots.
Historique
#2 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans
- Echéance changé de 27/08/2021 à 06/09/2021
- Statut changé de A qualifier à R&D - A étudier
- Assigné à changé de Emmanuel DILLARD à Alex ORLUC
- Priorité changé de 0-Bloquant à 1-Majeur
#3 Mis à jour par Henri QUENEAU il y a plus de 2 ans
#4 Mis à jour par Alex ORLUC il y a plus de 2 ans
- Assigné à changé de Alex ORLUC à Guillaume HEURTIER
#5 Mis à jour par Guillaume HEURTIER il y a plus de 2 ans
Concernant les informations retournées par /authenticationInformations :
l'URL de l'application : ne pose pas de problème de sécurité, puisque c'est généralement l'URL utilisée pour accéder à l'application (et donc la même URL utilisée pour appeler l'API)
clé secrète par défaut : cela permet d'informer l'utilisateur d'une faille de sécurité. si c'est false: tout va bien, si c'est true: il faut changer la configuration car il y a une faille
version de Maarch Courrier : oui cela donne plus d'infos sur l'application, mais ce n'est pas une faille en soit
(si c'est vraiment gênant, à voir ce qui serait mieux : cacher le numéro de la version avec un paramètre ou le déplacer ?)hash MD5 du chemin : effectivement il ne faut plus utiliser la méthode MD5 aujourd'hui, il faudrait que l'on utilise une autre méthode pour générer ce hash
Pour le mode d'authentification, le front en a besoin pour savoir quelle est la méthode de connexion à utiliser, pour par exemple afficher un formulaire de connexion ou rediriger sur une page de connexion d'un SSO.
Pour info, en 20.10 le mode d'authentification et la version de l'application sont également accessible depuis la page d'accueil, le comportement n'a pas changé.
#6 Mis à jour par Guillaume HEURTIER il y a plus de 2 ans
- Assigné à changé de Guillaume HEURTIER à Henri QUENEAU
#7 Mis à jour par Henri QUENEAU il y a plus de 2 ans
- Statut changé de R&D - A étudier à A traiter
- Assigné à changé de Henri QUENEAU à Guillaume HEURTIER
Ce qui a été dit suite à la revue de sécurité de la caisse des dépôts, l'affichage de la version de l'application et du tags n'est pas une faille de sécurité mais sont une information pouvant permettre l'exploitation d'une faille de sécurité. Il est donc important de supprimer cette information à ce niveau.
quelle utilité d'afficher le résultat de la clé secrète. pourquoi l'appeler secrète si on affiche des informations qui peuvent être exploitées ( cela permet d'informer l'utilisateur d'une faille de sécurité. si c'est false )
Hash md5, il faudra alors prévoir de faire une action sur ça si ce n'est plus d'actualité car cela a été remonté par la sécurité.
#8 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans
- Echéance changé de 06/09/2021 à 13/09/2021
- Statut changé de A traiter à R&D - A étudier
#9 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans
- Sujet changé de Vulnérabilité de niveau 3 de Maarch à Informations de version (UI) et hash du chemin
- Echéance
13/09/2021supprimé - Statut changé de R&D - A étudier à R&D - A planifier
- Assigné à
Guillaume HEURTIERsupprimé
Connexion : version majeure uniquement, non clickable
Cacher le version tag
-> mettre les infos tags dans le menu profil ("A propos")Changer le MD5
-> 21.03.xx / Develop
#11 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans
- Echéance mis à 07/10/2021
- Tags Courrier 21.03.9 ajouté
#14 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans
- Statut changé de R&D - A planifier à R&D - En cours
#15 Mis à jour par Hamza HRAMCHI il y a plus de 2 ans
- Assigné à mis à Hamza HRAMCHI
#16 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 2:25 display the major version on the login page and move the about us modal to the profile
https://labs.maarch.org/maarch/MaarchCourrier/commit/accfd31718c2590180b3228683d94a37795f0f46
#17 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 1 display the major version on the login page and move the about us modal to the profile
https://labs.maarch.org/maarch/MaarchCourrier/commit/100da2123181af25ace693e0f7ea3922aaf9aa87
#18 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:05 fix css
https://labs.maarch.org/maarch/MaarchCourrier/commit/61463bab3ccadd83f03e212bd89ba0b1adaf1a24
#19 Mis à jour par Hamza HRAMCHI il y a plus de 2 ans
- Assigné à changé de Hamza HRAMCHI à Quentin RIBAC
#20 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:10 translate
https://labs.maarch.org/maarch/MaarchCourrier/commit/0c99137c39358f6bfdfd1676f98f516ba92389d2
#21 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:15 switch instanceId hashing algorithm from md5 to sha256
https://labs.maarch.org/maarch/MaarchCourrier/commit/c65ac0a6d3b6d0ffc3ed389b24cb4c0543fd1d0a
#22 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:03 switch instanceId hashing algorithm from md5 to sha256
https://labs.maarch.org/maarch/MaarchCourrier/commit/a298a334093e84a3eba975a3cc980395d139fbde
#23 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:02 require authentication for GET/commitInformation
https://labs.maarch.org/maarch/MaarchCourrier/commit/e56aca0def78270759ab4d518766ecada56460ba
#24 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:02 require authentication for GET/commitInformation
https://labs.maarch.org/maarch/MaarchCourrier/commit/bc0ec9cb3396b82bcf633762565520ba6f71d20f
#25 Mis à jour par Quentin RIBAC il y a plus de 2 ans
- Statut changé de R&D - En cours à R&D - En test
#26 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:10 fix maarchBox svg icon
https://labs.maarch.org/maarch/MaarchCourrier/commit/2f888155c07f93cdbf7182404a240ab245852f07
#27 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:25 fix maarchBox svg icon
https://labs.maarch.org/maarch/MaarchCourrier/commit/b719bb1cbd440d157652243e59df48461b84029d
#28 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:02 rm script file
https://labs.maarch.org/maarch/MaarchCourrier/commit/7fbcc3a87ca0924ea0cfff268433cfc9dcf2408a
#29 Mis à jour par Hamza HRAMCHI il y a plus de 2 ans
- Fichier application_version1.png application_version1.png ajouté
- Fichier application_version2.png application_version2.png ajouté
#30 Mis à jour par GIT LAB il y a plus de 2 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FEAT #18115 TIME 0:05 revert return sector in autocomplete ban address
https://labs.maarch.org/maarch/MaarchCourrier/commit/c9df4478fe1c2c1fc01c14e5e40581d18d1e61fd
#31 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans
- Statut changé de R&D - En test à R&D - Terminé
#32 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans
- Assigné à changé de Quentin RIBAC à Henri QUENEAU