Säkerhetsbulletin från Debian

DSA-3017-1 php-cas -- säkerhetsuppdatering

Rapporterat den:
2014-09-02
Berörda paket:
php-cas
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 759718.
I Mitres CVE-förteckning: CVE-2014-4172.
Ytterligare information:

Marvin S. Addison upptäckte att Jasig phpCAS, ett PHP-bibliotek för autentiseringsprotokollet CAS inte kodar poster innan det lägger till dem till en URL, vilket skapar möjligheter för serveröverskridande skriptning.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.3.1-4+deb7u1.

Den instabila utgåvan (Sid) kommer att rättas inom kort.

Vi rekommenderar att ni uppgraderar era php-cas-paket.