Debian DLA-3485-1 : php-cas - LTS セキュリティ更新

high Nessus プラグイン ID 178052

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3485 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

- phpCAS は、PHP アプリケーションが Central Authentication Service (CAS) サーバー経由でユーザーを簡単に認証できるようにする認証ライブラリです。phpCAS ライブラリは、HTTP ヘッダーを使用して、チケットの検証に使用されるサービス URL を決定します。これにより、攻撃者はホストヘッダーを制御し、同じ SSO レルム (CAS サーバー) 内の承認されたサービスに付与された有効なチケットを使用して、phpCAS で保護されたサービスを認証できます。CAS サーバーのサービスレジストリの設定によりますが、最悪の場合、他のサービスの URL (許可される URL が ^(https): //.* に設定されている場合)、または適切な URL サービス検証が適用されていれば、同じ SSO フェデレーション内の既知で認証されたサービスに厳密に制限される可能性があります。この脆弱性により、被害者が同じ CAS サーバーにログインした状態で攻撃者の Web サイトにアクセスすると、被害者が気付かないうちに、攻撃者が脆弱な CASified サービスで被害者のアカウントにアクセスする可能性があります。phpCAS 1.6.0 はメジャーバージョンアップで、サービス URL 検出検証を行います。というのも、残念ながら PHP には 100％安全なデフォルト設定が存在しないからです。このバージョン以降、クライアントクラスを構築する際に、追加のサービスベース URL 引数を渡す必要があります。詳しくは、アップグレードドキュメントを参照してください。この脆弱性の影響を受けるのは、phpCAS ライブラリが保護している CAS クライアントのみです。phpCAS < 1.6.0 の問題のあるサービス URL 発見動作は無効になるだけで、phpCAS 構成が次のように設定されている場合は影響を受けません。1. `phpCAS: : setUrl()` が呼び出される (サービスベース URL ではなく、現在のページの完全な URL を渡す必要があることに注意)。2. `phpCAS: : setCallbackURL()` が呼び出される (プロキシモードが有効な場合のみ)。3. PHP の HTTP ヘッダー入力 `X-Forwarded-Host`、`X-Forwarded-Server`、`Host`、`X-Forwarded-Proto`、`X-Forwarded-Protocol` が (例えばリバースプロキシによって) PHP に届く前にサニタイズされている場合。このようなケースでは、この脆弱性の影響を受けることはありません。CAS サーバーサービスレジストリが既知の信頼できるサービス URL のみを許可するように構成されている場合、攻撃者が別の承認されたサービスをコントロールする必要があるため、脆弱性の深刻度は大幅に低下します。そうでない場合は、ライブラリをアップグレードして、安全なサービス検出動作を取得する必要があります。
(CVE-2022-39369)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。