应急服务国际公司的cve - 2014 - 5245:直接访问url后面一个可信的代理

2014年9月3日·发表的

影响版本

2.2所有。2.3 X。2.4 X。X,和2.5。X版本的Symfony HttpKe欧宝娱乐app下载地址rnel组件受此影响安全问题。你的应用程序仅仅是脆弱的,如果启用ESI特性和前面有一个代理的web应用程序。

这个问题已经固定在Symfony 2.3.19, 2.4.欧宝娱乐app下载地址9、2.5.4。注意,不为Symfony提供了补丁2.2不再维护。欧宝娱乐app下载地址

当你启用ESI的特性,当你使用代理配置为信任代理像清漆,‘FragmentHandler认为请求呈现碎片来自可靠来源,即使客户端请求直接。欧宝娱乐app下载地址Symfony不能区分ESI请求做代表客户机的清漆和伪造片段直接来自客户机的请求。

减轻这个问题,不支持Symfony的版本,你可以使用以下方法清漆配置(/ _fragment欧宝娱乐app下载地址的URL路径前缀配置框架下的“片段”设置包配置):

              1 2 3 4 5
              将调用vcl_recv{如果子(点播。重启= = 0 & &点播。url ~ ^ / _fragment){错误400;}}
             

我们不再依赖于可信ip验证片段请求时所有片段url现在签署。

我要感谢塞德里克Nirousset,特伦特钢铁,和克利斯朵夫Coevoet报告这一安全问题,克利斯朵夫Coevoet提供补丁,和大卫·布克曼帮助写这篇博客。

发表在#安全警告

发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。

管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址

帮助Symfony欧宝娱乐app下载地址项目!

与任何开源项目一样,贡献代码或文档来帮助欧宝体育电话是最常见的方式,但我们也有一个广泛的赞助机会。

以确保评论保持相关,他们关闭了旧的帖子。