Összefoglaló
A phpCAS olyan sérülékenységét jelentették, amelyet a támadók kihasználva hamisításos (spoofing) támadásokat hajthatnak végre.
Leírás
A sérülékenységet az okozza, hogy az alkalmazás nem megfelelő módon ellenőrzi a CAS szerver SSL tanúsítványának Common Name-jét (CN). Ezt kihasználva hamisítani lehet a szervert MitM (Man-in-the-Middle) támadással, és így bizalmas információkat lehet szerezni.
A sérülékenységet az 1.3.2 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 51818
CVE-2012-5583 - NVD CVE-2012-5583
Egyéb referencia: wiki.jasig.org