CVE-2017-11365:空密码验证问题

影响版本

欧宝娱乐app下载地址Symfony 2.7.30、2.7.31、2.8.23、2.8.24、3.2.10、3.2.11、3.3.3和3.3.4版本的安全组件受此安全问题影响。

该问题已在Symfony 2.7.32、2.8.25、3欧宝娱乐app下载地址.2.12和3.3.5中修复。

描述

修复问题时23319与23341，我们无意中引入了安全问题。

在“修复”之后，使用UserPassword约束但没有NotBlank约束将像以前一样没有任何错误地传递(空密码不会与用户密码进行比较)。你应该明确地添加一个NotBlank约束，但因为它之前没有工作，我们认为这是一个BC中断和安全问题。

决议

该修复程序在提交空密码时重新添加错误消息。

针对此问题的补丁已经可用在这里．