描述

在使用 Spring Security 的 CAS 代理票證身份驗證時，惡意的 CAS 服務可能會欺騙另一個 CAS 服務，使其驗證一個未關聯的代理票證。這是因為代理票證身份驗證使用了 HttpServletRequest 中的資訊，而該資訊是根據 HTTP 請求中的不可信資訊填充的。

這意味著，如果對哪些 CAS 服務可以相互進行身份驗證存在訪問控制限制，則可以繞過這些限制。

如果使用者未使用 CAS 代理票證，並且不基於 CAS 服務做出訪問控制決策，那麼使用者將不受影響。

受影響的 Spring 產品和版本

• 3.1 至 3.2.4

緩解措施

受影響版本的使用者應採取以下緩解措施

• 3.2x 的使用者應升級到 3.2.5 或更高版本
• 3.1.x 的使用者應升級到 3.1.7 或更高版本

致謝

此問題由 David Ohsie 發現，並由 CAS 開發團隊引起了我們的注意。

參考資料

• https://springframework.tw/blog/2014/08/15/cve-2014-3527-fixed-in-spring-security-3-2-5-and-3-1-7
• https://jira.spring.io/browse/SEC-2688

歷史

2014-Aug-17：釋出了最初的漏洞報告。