Bulletin d'alerte Debian

DSA-3017-1 php-cas -- Mise à jour de sécurité

Date du rapport :
2 septembre 2014
Paquets concernés :
php-cas
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 759718.
Dans le dictionnaire CVE du Mitre : CVE-2014-4172.
Plus de précisions :

Marvin S. Addison a découvert que phpCAS de Jasig, une bibliothèque PHP pour le protocole d'authentification CAS, n'encodait pas les tickets avant de les ajouter à une URL, créant une possibilité pour les scripts intersites.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.3.1-4+deb7u1.

La distribution unstable (Sid) sera corrigée prochainement.

Nous vous recommandons de mettre à jour vos paquets php-cas.