SA-CONTRIB-2014-035-CAS Server - Access Bypass 2014年4月2日(日本時間：GMT+9)、Third-party module において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID：　SA-CONTRIB-2014-035
●プロジェクト：　CAS(third-party module)
●バージョン：　6.x,7.x
●投稿日：　2014/04/02
●セキュリティリスク：　Critical
●リモート接続による悪用
●脆弱性：　アクセスバイパス

==概要==
CASプロジェクトのCASサーバーモジュールは、パーティのWEBアプリケーション(CAS仕様のサービス)を提供するために、CASの1.0および2.0仕様を実装しています。 ユーザーのログインリクエストを満たすとき、CASは使い捨てのチケットを作成します。 そして依存するパーティがチケットを有効にする際にユーザーのログインリクエストは削除されます。 しかし、Drupalのページキャッシュが有効になっている場合はキャッシュされ、使い捨てのチケットが削除されていても処理することができてしまいます。 証明書利用者にユーザーのセッションは、ユーザーがCookieやサーバー側のセッションを削除した場合でもcas_severモジュールに関連するセッションリプレイ攻撃を経由して再初期化されてしまう危険性があります。 CAS Server 6.x-2.xまたは7.x-2.xを使用している方は6.x-3.3.、7.x-1.3.にアップデートしてください。 あなたがこのモジュールを使用していない場合、アップデートの必要はありません。
==元記事==
https://drupal.org/node/2231663