CVE-2015-8124:“记住我”登录特性中的会话固定

2015年11月23日·发表的

影响版本

欧宝娱乐app下载地址Symfony 2.3.0到2.3.34、2.6.0 - 2.6.11、2.7.0 - 2.7.6版本的Security组件受此安全问题影响。

此问题已在Symfony 2.3.35、2.6.12和2.欧宝娱乐app下载地址7.7中修复。注意，没有为Symfony 2.4和2.5提供修复，因为它们不再被维护。欧宝娱乐app下载地址欧宝娱乐app下载地址Symfony 2.8和3.0还没有发布，修复将包含在它们的第一个稳定版本中。

“记住我”登录功能中的会话固定漏洞允许攻击者在攻击者之前知道会话id值的情况下对web应用程序冒充受害者。

该漏洞允许攻击者使用被攻击用户的权限访问Symfony web应用程序。欧宝娱乐app下载地址攻击要求应用程序使用“记住我”登录功能。此外，攻击者可以访问PHPSESSIDCookie值或已在用户浏览器中成功设置了新值。由于其要求，所描述的漏洞仅构成低风险。

该修复程序在通过“Remember Me”登录功能成功登录后迁移会话。

针对此问题的补丁已经可用在这里．

我要感谢RedTeam Pentesting GmbH团队报告了这个安全问题，并提供了非常详细的问题描述以及如何重现它(当前的咨询基于此)。感谢Sergey Novikov和Christian Flothmann为不同的Symfony版本编写修复。欧宝娱乐app下载地址

发表在＃安全警告

是否发现Symfony存在安全问题?欧宝娱乐app下载地址请将详情发送至www.oldmanjams.com的安全欧宝娱乐app下载地址在我们找到解决方案之前不要公开。

管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。欧宝娱乐app下载地址

帮助Symfony欧宝娱乐app下载地址项目!

与任何开源项目一样，贡献代码或文档是最常欧宝体育电话见的帮助方式，但我们也有广泛的赞助机会．

为了确保评论保持相关性，旧帖子将被关闭。