Информация по безопасности / 2014 / Информация о безопасности -- DSA-3017-1 php-cas

Рекомендация Debian по безопасности

DSA-3017-1 php-cas -- обновление безопасности

Дата сообщения:

02.09.2014

Затронутые пакеты:

php-cas

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 759718.
В каталоге Mitre CVE: CVE-2014-4172.

Более подробная информация:

Марвин Эдисон обнаружил, что Jasig phpCAS, библиотека PHP для протокола аутентификации CAS, не кодирует билеты до того, как добавить их в URL, что создаёт возможность осуществления межсайтового скриптинга.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.3.1-4+deb7u1.

В нестабильном выпуске (sid) эта проблема будет исправлена позже.

Рекомендуется обновить пакеты php-cas.