Sensio赞助实验室
菜单

CVE-2016-2403:在使用空密码时对错误配置的Ldap服务器进行未经授权的访问

2016年5月9日·发表的Fabien Potencier的化身法比安效力

影响版本

欧宝娱乐app下载地址Symfony安全组件的2.8.0到2.8.5和3.0.0到3.0.5版本都受到此安全问题的影响。

该问题已在Symfony 2.8.6和3.0.6中修复。欧宝娱乐app下载地址

描述

LDAP的绑定操作,如RFC 4513,提供了允许对用户进行身份验证的方法。对于简单认证方式,用户可以使用匿名认证机制、未认证认证机制和名称密码认证机制。当希望建立匿名授权状态的客户端传递非零长度的可区分名称和零长度的密码时,将使用unauthenticated身份验证机制。大多数LDAP服务器要么可以配置为允许这种机制,要么默认允许这种机制。

当建立匿名授权状态时,使用客户端凭证执行简单绑定操作的基于web的应用程序将面临风险。当基于web的应用程序向LDAP服务器传递唯一名称和零长度密码时,就会发生这种情况。因此,使用简单bind错误配置服务器会使Symfony误以为用户名/密码元组是有效的,从而可能导致未经授权的访问。欧宝娱乐app下载地址

决议

该修复实现了对提供的密码进行检查,以防止用户提交空密码。

针对此问题的补丁已经可用在这里

学分

我要感谢泰诺健SPA的Matteo Rossi报告了这个安全问题还有来自SensioLabs提供解决方案。

发表在安全警告

是否发现Symfony存在安全问题?欧宝娱乐app下载地址请将详情发送至www.oldmanjams.com的安全欧宝娱乐app下载地址在我们找到解决方案之前不要公开。

管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。欧宝娱乐app下载地址

帮助Symfony欧宝娱乐app下载地址项目!

与任何开源项目一样,贡献代码或文档是最常欧宝体育电话见的帮助方式,但我们也有广泛的赞助机会

评论

评论截止。

为了确保评论保持相关性,旧帖子将被关闭。