应急服务国际公司的cve - 2014 - 5245:直接访问url后面一个可信的代理
2014年9月3日·发表的法比安效力
影响版本
2.2所有。2.3 X。2.4 X。X,和2.5。X版本的Symfony HttpKe欧宝娱乐app下载地址rnel组件受此影响安全问题。你的应用程序仅仅是脆弱的,如果启用ESI特性和前面有一个代理的web应用程序。
这个问题已经固定在Symfony 2.3.19, 2.4.欧宝娱乐app下载地址9、2.5.4。注意,不为Symfony提供了补丁2.2不再维护。欧宝娱乐app下载地址
描述
当你启用ESI的特性,当你使用代理配置为信任代理像清漆,‘FragmentHandler认为请求呈现碎片来自可靠来源,即使客户端请求直接。欧宝娱乐app下载地址Symfony不能区分ESI请求做代表客户机的清漆和伪造片段直接来自客户机的请求。
减轻这个问题,不支持Symfony的版本,你可以使用以下方法清漆配置(/ _fragment欧宝娱乐app下载地址的URL路径前缀配置框架下的“片段”设置包配置):
1 2 3 4 5
将调用vcl_recv{如果子(点播。重启= = 0 & &点播。url ~ ^ / _fragment){错误400;}}
决议
我们不再依赖于可信ip验证片段请求时所有片段url现在签署。
这个问题是可用的补丁:https://github.com/欧宝娱乐app下载地址symfony/symfony/pull/11831
学分
我要感谢塞德里克Nirousset,特伦特钢铁,和克利斯朵夫Coevoet报告这一安全问题,克利斯朵夫Coevoet提供补丁,和大卫·布克曼帮助写这篇博客。
发表在#安全警告
发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。
管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址
评论
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。