Project

General

Profile

Régression #18115

Informations de version (UI) et hash du chemin

Added by Henri QUENEAU over 1 year ago. Updated about 1 year ago.

Status:
Développé / Analysé (S)
Priority:
1-Majeur
Assignee:
Henri QUENEAU
Target version:
Start date:
08/26/2021
Due date:
10/07/2021
Tags Courrier:
21.03.9

Description

Depuis la version 21.03 de Maarch Courrier, il est affiché:

  • la version de l'application
  • le mode d'authentitification

Cela est une faille dé sécurité car un hacker qui tombe sur l'application possède la version et le tag de l'application Maarch et peut donc exploité une éventuelle faille de sécurité beaucoup plus facilement.

Il en est de même pour le mode d'authentification car c'est une information permettant d'exploiter une éventuelle faille de sécurité.

Il est donc nécessaire de remettre comme avant en 20.10 et les anciennes versions ou trouver une autre solution.

Autre point, la route rest/authenticationInformations fournir les informations ci-dessus sans mot de passe . Cela est donc une faille de sécurité.

Ces points sont remontés par l'audit de sécurité de la caisse des dépots.

Screenshot from 2021-08-26 14-38-38.png (94.1 KB) Screenshot from 2021-08-26 14-38-38.png Henri QUENEAU, 08/26/2021 02:39 PM
Screenshot from 2021-08-26 15-25-13.png (62.8 KB) Screenshot from 2021-08-26 15-25-13.png Henri QUENEAU, 08/26/2021 03:25 PM
application_version1.png (1.12 MB) application_version1.png Hamza HRAMCHI, 10/04/2021 04:26 PM
application_version2.png (32.7 KB) application_version2.png Hamza HRAMCHI, 10/04/2021 04:26 PM
9047
9048
9374
9375

History

#2 Updated by Emmanuel DILLARD over 1 year ago

  • Due date changed from 08/27/2021 to 09/06/2021
  • Status changed from A qualifier to A étudier
  • Assignee changed from Emmanuel DILLARD to Alex ORLUC
  • Priority changed from 0-Bloquant to 1-Majeur

#4 Updated by Alex ORLUC over 1 year ago

  • Assignee changed from Alex ORLUC to Guillaume HEURTIER

#5 Updated by Guillaume HEURTIER over 1 year ago

Concernant les informations retournées par /authenticationInformations :

  • l'URL de l'application : ne pose pas de problème de sécurité, puisque c'est généralement l'URL utilisée pour accéder à l'application (et donc la même URL utilisée pour appeler l'API)

  • clé secrète par défaut : cela permet d'informer l'utilisateur d'une faille de sécurité. si c'est false: tout va bien, si c'est true: il faut changer la configuration car il y a une faille

  • version de Maarch Courrier : oui cela donne plus d'infos sur l'application, mais ce n'est pas une faille en soit
    (si c'est vraiment gênant, à voir ce qui serait mieux : cacher le numéro de la version avec un paramètre ou le déplacer ?)

  • hash MD5 du chemin : effectivement il ne faut plus utiliser la méthode MD5 aujourd'hui, il faudrait que l'on utilise une autre méthode pour générer ce hash

Pour le mode d'authentification, le front en a besoin pour savoir quelle est la méthode de connexion à utiliser, pour par exemple afficher un formulaire de connexion ou rediriger sur une page de connexion d'un SSO.

Pour info, en 20.10 le mode d'authentification et la version de l'application sont également accessible depuis la page d'accueil, le comportement n'a pas changé.

#6 Updated by Guillaume HEURTIER over 1 year ago

  • Assignee changed from Guillaume HEURTIER to Henri QUENEAU

#7 Updated by Henri QUENEAU over 1 year ago

  • Status changed from A étudier to A traiter
  • Assignee changed from Henri QUENEAU to Guillaume HEURTIER

Ce qui a été dit suite à la revue de sécurité de la caisse des dépôts, l'affichage de la version de l'application et du tags n'est pas une faille de sécurité mais sont une information pouvant permettre l'exploitation d'une faille de sécurité. Il est donc important de supprimer cette information à ce niveau.

quelle utilité d'afficher le résultat de la clé secrète. pourquoi l'appeler secrète si on affiche des informations qui peuvent être exploitées ( cela permet d'informer l'utilisateur d'une faille de sécurité. si c'est false )

Hash md5, il faudra alors prévoir de faire une action sur ça si ce n'est plus d'actualité car cela a été remonté par la sécurité.

#8 Updated by Emmanuel DILLARD over 1 year ago

  • Due date changed from 09/06/2021 to 09/13/2021
  • Status changed from A traiter to A étudier

#9 Updated by Emmanuel DILLARD about 1 year ago

  • Subject changed from Vulnérabilité de niveau 3 de Maarch to Informations de version (UI) et hash du chemin
  • Due date deleted (09/13/2021)
  • Status changed from A étudier to Prêt à embarquer
  • Assignee deleted (Guillaume HEURTIER)

Connexion : version majeure uniquement, non clickable

  • Cacher le version tag
    -> mettre les infos tags dans le menu profil ("A propos")

  • Changer le MD5

-> 21.03.xx / Develop

#11 Updated by Emmanuel DILLARD about 1 year ago

  • Due date set to 10/07/2021
  • Tags Courrier 21.03.9 added

#14 Updated by Emmanuel DILLARD about 1 year ago

  • Status changed from Prêt à embarquer to En cours de dev (S)

#15 Updated by Hamza HRAMCHI about 1 year ago

  • Assignee set to Hamza HRAMCHI

#16 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 2:25 display the major version on the login page and move the about us modal to the profile
https://labs.maarch.org/maarch/MaarchCourrier/commit/accfd31718c2590180b3228683d94a37795f0f46

#17 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 1 display the major version on the login page and move the about us modal to the profile
https://labs.maarch.org/maarch/MaarchCourrier/commit/100da2123181af25ace693e0f7ea3922aaf9aa87

#18 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:05 fix css
https://labs.maarch.org/maarch/MaarchCourrier/commit/61463bab3ccadd83f03e212bd89ba0b1adaf1a24

#19 Updated by Hamza HRAMCHI about 1 year ago

  • Assignee changed from Hamza HRAMCHI to Quentin RIBAC

#20 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:10 translate
https://labs.maarch.org/maarch/MaarchCourrier/commit/0c99137c39358f6bfdfd1676f98f516ba92389d2

#21 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:15 switch instanceId hashing algorithm from md5 to sha256
https://labs.maarch.org/maarch/MaarchCourrier/commit/c65ac0a6d3b6d0ffc3ed389b24cb4c0543fd1d0a

#22 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:03 switch instanceId hashing algorithm from md5 to sha256
https://labs.maarch.org/maarch/MaarchCourrier/commit/a298a334093e84a3eba975a3cc980395d139fbde

#23 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:02 require authentication for GET/commitInformation
https://labs.maarch.org/maarch/MaarchCourrier/commit/e56aca0def78270759ab4d518766ecada56460ba

#24 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:02 require authentication for GET/commitInformation
https://labs.maarch.org/maarch/MaarchCourrier/commit/bc0ec9cb3396b82bcf633762565520ba6f71d20f

#25 Updated by Quentin RIBAC about 1 year ago

  • Status changed from En cours de dev (S) to A tester (S)

#26 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/develop de MaarchCourrier
FIX #18115 TIME 0:10 fix maarchBox svg icon
https://labs.maarch.org/maarch/MaarchCourrier/commit/2f888155c07f93cdbf7182404a240ab245852f07

#27 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:25 fix maarchBox svg icon
https://labs.maarch.org/maarch/MaarchCourrier/commit/b719bb1cbd440d157652243e59df48461b84029d

#28 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FIX #18115 TIME 0:02 rm script file
https://labs.maarch.org/maarch/MaarchCourrier/commit/7fbcc3a87ca0924ea0cfff268433cfc9dcf2408a

#30 Updated by GIT LAB about 1 year ago

Commit ajouté sur la branche fix/18115/21.03 de MaarchCourrier
FEAT #18115 TIME 0:05 revert return sector in autocomplete ban address
https://labs.maarch.org/maarch/MaarchCourrier/commit/c9df4478fe1c2c1fc01c14e5e40581d18d1e61fd

#31 Updated by Emmanuel DILLARD about 1 year ago

  • Status changed from A tester (S) to Développé / Analysé (S)

#32 Updated by Emmanuel DILLARD about 1 year ago

  • Assignee changed from Quentin RIBAC to Henri QUENEAU

Also available in: Atom PDF