Sensio赞助实验室
菜单

cve - 2016 - 1902: SecureRandom后备OpenSSL失败时不安全

2016年1月18日·发表的《阿凡达》的法比安效力法比安效力

影响版本

欧宝娱乐app下载地址Symfony tripwire 2.3.36, 2.6.0 2.6.12, 2.7.0 2.7.8版本的安全组件受此影响安全问题在使用PHP 5。x没有paragonie / random_compat库中列出您的作曲家依赖关系。项目使用PHP 7不受影响。

这个问题已经固定在Symfony 2.3.37, 2.6.欧宝娱乐app下载地址13, 2.7.9。注意,没有修复为Symfony提供了2.4和2.5不再维护。欧宝娱乐app下载地址欧宝娱乐app下载地址Symfony 2.8和3.0不受影响。

描述

SecureRandom欧宝娱乐app下载地址Symfony类目标是生成安全的随机数。几个策略取决于使用PHP的配置。在PHP安装的位置random_bytes ()功能不可用,Symfony会回到使用欧宝娱乐app下载地址openssl_random_pseudo_bytes ()。如果不工作,使用Symfony会生成一个安全的欧宝娱乐app下载地址随机数函数()mt_rand (),不适合加密上下文。

决议

解决办法在于去除所有的自定义代码的使用paragonie / random_compat图书馆在Symfony 2.8和3.0已经完成。欧宝娱乐app下载地址

这个问题是可用的补丁在这里

学分

我要感谢着陆器布兰德报告这一安全问题。由于基督教弗洛特曼编写各种Symfony的修复版本。欧宝娱乐app下载地址

发表在#安全警告

发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。

管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址

帮助Symfony欧宝娱乐app下载地址项目!

与任何开源项目一样,贡献代码或文档来帮助欧宝体育电话是最常见的方式,但我们也有一个广泛的赞助机会

评论

评论都关门了。

以确保评论保持相关,他们关闭了旧的帖子。