cve - 2016 - 1902: SecureRandom后备OpenSSL失败时不安全
2016年1月18日·发表的法比安效力
影响版本
欧宝娱乐app下载地址Symfony tripwire 2.3.36, 2.6.0 2.6.12, 2.7.0 2.7.8版本的安全组件受此影响安全问题在使用PHP 5。x没有paragonie / random_compat
库中列出您的作曲家依赖关系。项目使用PHP 7不受影响。
这个问题已经固定在Symfony 2.3.37, 2.6.欧宝娱乐app下载地址13, 2.7.9。注意,没有修复为Symfony提供了2.4和2.5不再维护。欧宝娱乐app下载地址欧宝娱乐app下载地址Symfony 2.8和3.0不受影响。
描述
的SecureRandom
欧宝娱乐app下载地址Symfony类目标是生成安全的随机数。几个策略取决于使用PHP的配置。在PHP安装的位置random_bytes ()
功能不可用,Symfony会回到使用欧宝娱乐app下载地址openssl_random_pseudo_bytes ()
。如果不工作,使用Symfony会生成一个安全的欧宝娱乐app下载地址随机数函数()
和mt_rand ()
,不适合加密上下文。
学分
我要感谢着陆器布兰德报告这一安全问题。由于基督教弗洛特曼编写各种Symfony的修复版本。欧宝娱乐app下载地址
发表在#安全警告
发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。
管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址
评论
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。