Debian DLA-3485-1：php-cas - LTS 安全性更新

high Nessus Plugin ID 178052

語系：

概要

遠端 Debian 主機缺少與安全性相關的更新。

說明

遠端 Debian 10 主機上安裝的套件受 dla-3485 公告中提及的一個弱點影響。

- phpCAS 是一種驗證程式庫，可讓 PHP 應用程式透過中央驗證服務 (CAS) 伺服器輕鬆驗證使用者。phpCAS 程式庫使用 HTTP 標頭來判斷用於驗證票證的服務 URL。借助該庫，攻擊者可以控制主機標頭，並使用授予相同 SSO 領域 (CAS 伺服器) 中任何授權服務的有效票證，以驗證受 phpCAS 保護的服務。根據 CAS 伺服器服務登錄檔的設定，在最壞的情況下，這可能是任何其他服務 URL (如果允許的 URL 設定為 ^(https)：//.*)；如果套用適當的 URL 服務驗證，則可能會嚴格限制為相同 SSO 聯盟中的已知和授權服務。當受害者在登入相同 CAS 伺服器的情況下造訪攻擊者的網站時，此弱點可能允許攻擊者在受害者不知情的情況下，在有弱點的 CASified 服務上取得受害者帳戶的存取權。我們對 phpCAS 1.6.0 版進行了主要版本升級，開始強制執行服務 URL 探索驗證，因為 PHP 中沒有可使用的 100% 安全的預設組態。從此版本開始，建構用戶端類別時，必須傳入額外的服務基本 URL 引數。如需詳細資訊，請參閱升級檔案。此弱點只會影響 phpCAS 程式庫保護的 CAS 用戶端。如果 phpCAS 組態有下列設定，phpCAS 低於 1.6.0 的版本中儘存在問題的服務 URL 探索行為會遭到停用，因此您不會受到影響：1. 呼叫「phpCAS：: setUrl()」(提醒您必須傳入目前頁面的完整 URL，而非服務基底 URL)，以及；2. 僅在啟用 Proxy 模式時，才會呼叫「phpCAS：: setCallbackURL()」；3. 如果 PHP 的 HTTP 標頭輸入「X-Forwarded-Host」、「X-Forwarded-Server」、「X-Forwarded-Proto」、「X-Forwarded-Protocol」在傳送至 PHP 之前被清理 (由例如反向代理伺服器)，您也不會受到此弱點的影響。如果您的 CAS 伺服器服務登錄檔設定為只允許已知且受信任的服務 URL，則該弱點的嚴重性會大幅降低，因為攻擊者必須控制另一個授權服務。否則，您應該升級程式庫以獲得安全的服務探索行為。
(CVE-2022-39369)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。