CVE-2017-11365:空密码验证问题
2017年7月17日·发表的法比安效力
影响版本
欧宝娱乐app下载地址Symfony 2.7.30、2.7.31、2.8.23、2.8.24、3.2.10、3.2.11、3.3.3和3.3.4版本的安全组件受此安全问题影响。
该问题已在Symfony 2.7.32、2.8.25、3欧宝娱乐app下载地址.2.12和3.3.5中修复。
描述
修复问题时23319与23341,我们无意中引入了安全问题。
在“修复”之后,使用UserPassword
约束但没有NotBlank
约束将像以前一样没有任何错误地传递(空密码不会与用户密码进行比较)。你应该明确地添加一个NotBlank
约束,但因为它之前没有工作,我们认为这是一个BC中断和安全问题。
决议
该修复程序在提交空密码时重新添加错误消息。
针对此问题的补丁已经可用在这里.
发表在#安全警告
是否发现Symfony存在安全问题?欧宝娱乐app下载地址请将详情发送至www.oldmanjams.com的安全欧宝娱乐app下载地址在我们找到解决方案之前不要公开。
管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。欧宝娱乐app下载地址
评论
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。
Alex Rock is a certified Symfony engineer.
Get certified! Online exams available in all countries.
Register Now