fix CVE-2015-9284 security alert

[yaf]

https://trello.com/c/m4c7w3mC/1151-investigate-potential-security-issue-with-omniauth-cve-2015-9284

Résolution en suivant les points https://github.com/omniauth/omniauth/wiki/Resolving-CVE-2015-9284

ajout du test proposé omniauth/omniauth#809 (comment)

[adipasquale]

tu arrives a acceder a la super admin en local ? je n'y arrive pas moi je tombe sur une page disant "auth pass thru"

aussi, sur https://github.com/omniauth/omniauth/wiki/Resolving-CVE-2015-9284 je lis :

A key part of resolving this vulnerability is refusing GET requests to /auth/:provider endpoints.

Or les routes n'ont pas changé entre ta PR et master :

➜  rdv-solidarites.fr git:(CVE-2015-9284) rails routes | grep auth | grep provider
                                               GET      /api/v1/auth/:provider/callback(.:format)                                                devise_token_auth/omniauth_callbacks#omniauth_success
                                               GET|POST /omniauth/:provider/callback(.:format)                                                   devise_token_auth/omniauth_callbacks#redirect_callbacks
                                               GET      /api/v1/auth/:provider(.:format)                                                         redirect(301)

il y a un GET sur /api/v1/auth/:provider qui redirige.
par ex `` a l'air de rediriger vers omniauth/github?namespace_name=api_v1&resource_class=AgentWithTokenAuth et cette page fait une 404

Je dois dire que je suis hyper perplexe sur cette faille ! je ne comprends pas comment on pouvait y être vulnérable avant si on avait déjà pas de GET requests.

merci beaucoup d'avoir pris le temps d'investiguer et d'ajouter une spec qui a l'air de s'assurer qu'on a corrigé le pb. si tu es confiant, et que ça ne casse pas l'accès à la super admin ça me va

[yaf]

Merci d'avoir poussé le test, j'avais oublié de me déconnecté du super admin. En le faisant, je n'ai pas pu me reconnecter.
Le truc c'est sans doute de passer par une page spécial pour pouvoir faire un post ensuite vers Github si j'ai bien saisi... Je la repasse en draft

[yaf]

J'ai l'impression qu'il faudrait qu'on passe par une page, un formulaire, pour faire une requête post vers github.

J'essaie

[yaf]

Ça semble mieux fonctionner.

Je n'ai pas été très inspiré :

• la route : /connexion_super_admin
• dans le welcome_controller
• et dans la vue, un simple lien en post.

Ensuite, est-ce qu'on fait confiance à ce fix ? Je ne sais pas. Pour être sur, il faudrait prendre le temps de reproduire l'attaque, vérifier que nous étions vulnérable avant l'ajout de cette gem et du lien en post, puis, vérifier une fois la PR déployé...

[adipasquale]

👍 on va dire que la nouvelle page /connexion_super_admins rajoute un peu de securité par obfuscation :)