Régression #18115
ferméInformations de version (UI) et hash du chemin
Description
Depuis la version 21.03 de Maarch Courrier, il est affiché:
- la version de l'application
- le mode d'authentitification
Cela est une faille dé sécurité car un hacker qui tombe sur l'application possède la version et le tag de l'application Maarch et peut donc exploité une éventuelle faille de sécurité beaucoup plus facilement.
Il en est de même pour le mode d'authentification car c'est une information permettant d'exploiter une éventuelle faille de sécurité.
Il est donc nécessaire de remettre comme avant en 20.10 et les anciennes versions ou trouver une autre solution.
Autre point, la route rest/authenticationInformations fournir les informations ci-dessus sans mot de passe . Cela est donc une faille de sécurité.
Ces points sont remontés par l'audit de sécurité de la caisse des dépots.
Fichiers
Mis à jour par Emmanuel DILLARD il y a plus de 3 ans
- Echéance changé de 27/08/2021 à 06/09/2021
- Statut changé de A qualifier à R&D - A étudier
- Assigné à changé de Emmanuel DILLARD à Alex ORLUC
- Priorité changé de 0-Bloquant à 1-Majeur
Mis à jour par Alex ORLUC il y a plus de 3 ans
- Assigné à changé de Alex ORLUC à Guillaume HEURTIER
Mis à jour par Guillaume HEURTIER il y a plus de 3 ans
Concernant les informations retournées par /authenticationInformations :
-
l'URL de l'application : ne pose pas de problème de sécurité, puisque c'est généralement l'URL utilisée pour accéder à l'application (et donc la même URL utilisée pour appeler l'API)
-
clé secrète par défaut : cela permet d'informer l'utilisateur d'une faille de sécurité. si c'est false: tout va bien, si c'est true: il faut changer la configuration car il y a une faille
-
version de Maarch Courrier : oui cela donne plus d'infos sur l'application, mais ce n'est pas une faille en soit
(si c'est vraiment gênant, à voir ce qui serait mieux : cacher le numéro de la version avec un paramètre ou le déplacer ?) -
hash MD5 du chemin : effectivement il ne faut plus utiliser la méthode MD5 aujourd'hui, il faudrait que l'on utilise une autre méthode pour générer ce hash
Pour le mode d'authentification, le front en a besoin pour savoir quelle est la méthode de connexion à utiliser, pour par exemple afficher un formulaire de connexion ou rediriger sur une page de connexion d'un SSO.
Pour info, en 20.10 le mode d'authentification et la version de l'application sont également accessible depuis la page d'accueil, le comportement n'a pas changé.
Mis à jour par Guillaume HEURTIER il y a plus de 3 ans
- Assigné à changé de Guillaume HEURTIER à Henri QUENEAU
Mis à jour par Henri QUENEAU il y a plus de 3 ans
- Statut changé de R&D - A étudier à A traiter
- Assigné à changé de Henri QUENEAU à Guillaume HEURTIER
Ce qui a été dit suite à la revue de sécurité de la caisse des dépôts, l'affichage de la version de l'application et du tags n'est pas une faille de sécurité mais sont une information pouvant permettre l'exploitation d'une faille de sécurité. Il est donc important de supprimer cette information à ce niveau.
quelle utilité d'afficher le résultat de la clé secrète. pourquoi l'appeler secrète si on affiche des informations qui peuvent être exploitées ( cela permet d'informer l'utilisateur d'une faille de sécurité. si c'est false )
Hash md5, il faudra alors prévoir de faire une action sur ça si ce n'est plus d'actualité car cela a été remonté par la sécurité.
Mis à jour par Emmanuel DILLARD il y a plus de 3 ans
- Echéance changé de 06/09/2021 à 13/09/2021
- Statut changé de A traiter à R&D - A étudier
Mis à jour par Emmanuel DILLARD il y a plus de 3 ans
- Sujet changé de Vulnérabilité de niveau 3 de Maarch à Informations de version (UI) et hash du chemin
- Echéance
13/09/2021supprimé - Statut changé de R&D - A étudier à R&D - A planifier
- Assigné à
Guillaume HEURTIERsupprimé
Connexion : version majeure uniquement, non clickable
-
Cacher le version tag
-> mettre les infos tags dans le menu profil ("A propos") -
Changer le MD5
-> 21.03.xx / Develop
Mis à jour par Emmanuel DILLARD il y a plus de 3 ans
- Statut changé de R&D - A planifier à R&D - En cours
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 2:25 display the major version on the login page and move the about us modal to the profile
https://labs.maarch.org/maarch/MaarchCourrier/commit/accfd31718c2590180b3228683d94a37795f0f46
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 1 display the major version on the login page and move the about us modal to the profile
https://labs.maarch.org/maarch/MaarchCourrier/commit/100da2123181af25ace693e0f7ea3922aaf9aa87
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:05 fix css
https://labs.maarch.org/maarch/MaarchCourrier/commit/61463bab3ccadd83f03e212bd89ba0b1adaf1a24
Mis à jour par Hamza HRAMCHI il y a environ 3 ans
- Assigné à changé de Hamza HRAMCHI à Quentin RIBAC
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:10 translate
https://labs.maarch.org/maarch/MaarchCourrier/commit/0c99137c39358f6bfdfd1676f98f516ba92389d2
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:15 switch instanceId hashing algorithm from md5 to sha256
https://labs.maarch.org/maarch/MaarchCourrier/commit/c65ac0a6d3b6d0ffc3ed389b24cb4c0543fd1d0a
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:03 switch instanceId hashing algorithm from md5 to sha256
https://labs.maarch.org/maarch/MaarchCourrier/commit/a298a334093e84a3eba975a3cc980395d139fbde
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:02 require authentication for GET/commitInformation
https://labs.maarch.org/maarch/MaarchCourrier/commit/e56aca0def78270759ab4d518766ecada56460ba
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:02 require authentication for GET/commitInformation
https://labs.maarch.org/maarch/MaarchCourrier/commit/bc0ec9cb3396b82bcf633762565520ba6f71d20f
Mis à jour par Quentin RIBAC il y a environ 3 ans
- Statut changé de R&D - En cours à R&D - En test
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:10 fix maarchBox svg icon
https://labs.maarch.org/maarch/MaarchCourrier/commit/2f888155c07f93cdbf7182404a240ab245852f07
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:25 fix maarchBox svg icon
https://labs.maarch.org/maarch/MaarchCourrier/commit/b719bb1cbd440d157652243e59df48461b84029d
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:02 rm script file
https://labs.maarch.org/maarch/MaarchCourrier/commit/7fbcc3a87ca0924ea0cfff268433cfc9dcf2408a
Mis à jour par Hamza HRAMCHI il y a environ 3 ans
- Fichier application_version1.png application_version1.png ajouté
- Fichier application_version2.png application_version2.png ajouté
Mis à jour par GIT LAB il y a environ 3 ans
Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FEAT #18115 TIME 0:05 revert return sector in autocomplete ban address
https://labs.maarch.org/maarch/MaarchCourrier/commit/c9df4478fe1c2c1fc01c14e5e40581d18d1e61fd
Mis à jour par Emmanuel DILLARD il y a environ 3 ans
- Statut changé de R&D - En test à R&D - Terminé
Mis à jour par Emmanuel DILLARD il y a environ 3 ans
- Assigné à changé de Quentin RIBAC à Henri QUENEAU