Changer de communauté

Alerte de sécurité Moovapps Process du 06/05/2020
  • Topic:
    • Moovapps Process

par Delphine DELHERME

Delphine DELHERME

Une vulnérabilité dans une API Web (flow) de Moovapps Process pourrait permettre à un attaquant d’exécuter du code arbitraire sur le serveur d’application.

Cette vulnérabilité affecte les versions 2010 (à partir de 2010 SP2), 11, 12, 14, 15 et 16 de Moovapps Process surtout si la clé d’autorisation des IPs autorisées à appeler cette API est trop permissive.

 

Etes-vous exposés ?

Pour vérifier si vous êtes exposés, veuillez vérifier la valeur de la clé de configuration dans le fichier CustomResources.properties ou dans l’interface d’administration de Moovapps process (Menu Configuration / Onglet paramètres) : com.axemble.security.ExternalAuthenticationAction.allowedAddresses

  • Si celle-ci contient l’IP du serveur (127.0.0.1) ou des IPs de serveurs de confiance, vous n’êtes pas exposés à cette vulnérabilité.

  • Si celle-ci contient « * » ou des IPs de serveurs inconnus, nous vous recommandons fortement de modifier cette clé de configuration et d’indiquer une liste d’IPs de confiance.

    • Cette valeur est positionnée par défaut à « * » pour la version 16.X.

 

Dans quels cas cette API est utilisée ?

Cette API peut être utilisée dans les cas où une application tierce a besoin d’accéder à l’annuaire, aux processus et aux documents de Moovapps Process, comme par exemple :

  • Une application mobile ayant besoin d’accéder à des documents de processus

  • Une application nécessitant de s’authentifier auprès du serveur Moovapps process (Ex : Moovapps Team, Moovapps Document…)

 

Comment vous protéger ?

>> Nous vous invitons à consulter la documentation disponible via ce lien.

 

Si vous êtes certains que cette api n’a pas besoin d’être exposée, nous vous recommandons de modifier la valeur de la clé, dans le fichier CustomResources.properties ou dans l’interface d’administration de Moovapps process (Menu Configuration / Onglet paramètres)

com.axemble.security.ExternalAuthenticationAction.allowedAddresses=127.0.0.1

Si vous savez qu’une application Moovapps hébergée dans le Cloud Moovapps s’authentifie auprès de votre serveur Moovapps Process, vous devez paramétrer cette clé de la manière suivante (Merci de bien respecter les valeurs des adresses IP) :

com.axemble.security.ExternalAuthenticationAction.allowedAddresses=172.16.20.251;172.16.20.252;172.16.20.254;172.16.40.250;172.16.40.251;172.16.40.254;172.16.32.250;172.16.32.251;172.16.32.254;185.74.203.1;185.209.52.33;185.123.25.226

 

En complément, pour les versions sous maintenance (14, 15 et 16), un fix de sécurité (corrigeant la faille détectée) est disponible afin de sécuriser cette API

La mise en place de ce fix ne vous dispense pas de restreindre l’accès à l’API en indiquant une valeur à la clé com.axemble.security.ExternalAuthenticationAction.allowedAddresses comme indiqué ci-dessus

 

Bénéficier de ce fix sur un tenant hébergé moovapps process :

  • Le fix est automatiquement déployé sur les tenants Moovapps process et Workplace.

  • Un redémarrage de votre tenant permet d’appliquer automatiquement ce fix

  • Vous pouvez vérifier, après démarrage, dans l’interface de Moovapps process (onglet fixes de l’administration du serveur) que le fix a bien été appliqué.

Bénéficier de ce fix sur un serveur Moovapps « on premise » :

  • Vous pouvez télécharger le fix ou le fixpack adapté pour votre version de Moovapps en utilisant le lien de téléchargement correspondant à votre version (voir tableau ci-dessous)

  • Sur votre serveur Moovapps process, poser le fix dans le dossier fix de l’instance

  • Redémarrer le serveur

  • Vous pouvez vérifier, après démarrage, dans l’interface de Moovapps process (onglet fixes de l’administration du serveur) que le fix a bien été appliqué.

Adresse de téléchargement du fix :

Partager

Email this page

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies. Voir plus

OK