DebianDLA-3486-1:ocsintory-server-LTS安全更新

高位奈苏斯插件号178637

语言 :

简表

Debian远程主机缺安全相关更新

描述性

远程 Debian 10主机安装包受dla-3486咨询中引用的脆弱性影响

phpCAS是一个认证库,允许PHP应用通过中央验证服务服务器方便验证用户phpCAS库使用HTTP头来确定验证票使用服务URL允许攻击者控制主机头并使用为同一SSO域内授权服务提供的有效票认证受phpCAS保护的服务视CAS服务器服务寄存器设置最差情况而定,这可能是任何其他服务URL(如果允许URL配置为########.*)或严格限为同一SSOFerive已知授权服务攻击者访问攻击者网站同时登录同个CAS服务器时,这种漏洞可能允许攻击者访问受害者账户,获取脆弱CAS化服务,而受害者不知情phpCAS1.6.0大版本升级启动服务URL发现验证,因为不幸的是PHP没有100%安全默认配置使用启动此版本时, 需要通过附加服务基URL参数构建客户类详情请参考升级文档脆弱度只影响CAS客户端 phpCAS库保护phpCAS < 1.6.0中问题服务URL发现行为将仅禁用,因此,如果phpCAS配置设置如下:1phpCAS:setell()调用phpCAS:setCallbackURL()3级hp头输入'X前向-Host',`X前向-服务器',`Host',`X前向-Proto',`X前向-协议'在达PHP前净化(例如用逆向代理),你也不会受此脆弱性影响假设您的CAS服务器服务寄存器配置只允许已知可信服务URL否则,你应升级库获取安全服务发现行为
(CVE-2022-39369)

注意Nessus没有测试这一问题,而是只依赖应用自报版号