Debian DLA-3485-1：php-cas - LTS 安全更新

high Nessus 插件 ID 178052

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

远程 Debian 10 主机上安装的程序包受到 dla-3485 公告中提及的一个漏洞影响。

- phpCAS 是一个认证库，允许 PHP 应用程序通过中央认证服务 (CAS) 服务器轻松认证用户。phpCAS 库使用 HTTP 标头来确定用于验证票证的服务 URL。该库允许攻击者控制主机标头，并使用为同一 SSO 领域（CAS 服务器）中的任何授权服务授予的有效票证对 phpCAS 保护的服务进行认证。根据 CAS 服务器服务注册表的设置，在最坏的情况下，这可能是任何其他服务 URL（如果允许的 URL 配置为 ^(https): //.*)，或者如果应用了正确的 URL 服务验证，则可能被严格限制为相同 SSO 联合中的已知和授权的服务。当受害者在登录同一 CAS 服务器的情况下访问攻击者的网站时，此漏洞可能会允许攻击者在受漏洞影响的 CASified 服务上获取受害者的帐户，而受害者并不知情。我们对 phpCAS 1.6.0 版做了主要版本升级，以开始强制执行服务 URL 发现验证，因为在 PHP 中没有 100％安全的默认配置可供使用。从此版本开始，构造客户端类时需要传入一个额外的服务基本 URL 参数。如需更多信息，请参阅升级文档。此漏洞仅影响 phpCAS 库防御的 CAS 客户端。如果 phpCAS 配置具有以下设置，则只会禁用 phpCAS 低于 1.6.0 的版本中有问题的服务 URL 发现行为，因此您不会受到影响：1. 调用 `phpCAS：: setUrl()`（提醒您必须传入当前页面的完整 URL，而不是服务基本 URL）；并且 2. 仅当启用了代理模式时才会调用 `phpCAS: : setCallbackURL()`；3. 如果 PHP 的 HTTP 标头输入“X-Forwarded-Host”、“X-Forwarded-Server”、“X-Forwarded-Proto”、“X-Forwarded-Protocol”在到达 PHP 之前被清理（例如通过反向代理），则您也不会受到此漏洞的影响。如果您的 CAS 服务器服务注册表配置为仅允许已知和可信的服务 URL，则该漏洞的严重性会大大降低，因为攻击者必须控制另一个经授权的服务。否则，您应升级库以获得安全的服务发现行为。
(CVE-2022-39369)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。