cve - 2017 - 16653: CSRF保护不为HTTP和HTTPS使用不同的标记

影响版本

欧宝娱乐app下载地址Symfony 2.7.0 2.7.37, 2.8.0 2.8.30, 3.2.0 3.2.13, 3.3.0 3.3.12版本Symfony安全组件受此影响的安全问题。

这个问题已经固定在Symfony 2.7.38, 2.8欧宝娱乐app下载地址.31, 3.2.14, 3.3.13, -beta5 -beta5 3.4和4.0。

注意,没有修复为Symfony提供了3.0和3.1不再维护。欧宝娱乐app下载地址

描述

CSRF保护的实现没有为HTTP和HTTPS使用不同的令牌,因此令牌是受制于MITM攻击HTTP和HTTPS上下文可以用来做CSRF攻击。

决议

令牌现在默认名称空间区分HTTP和HTTPS。

注意,这个补丁了公元前一个小休息(令牌ID可以改变,并不是指定的一个用户在某些情况下),但修复所有用例的好处:

• 形成组件;
• 登录和注销安全听众;
• 直接使用security.csrf.token_manager服务;
• 直接使用CsrfTokenManager没有完整的堆栈框架(组件),即使不使用HttpFoundation。

前面的行为可以恢复使用”名称空间。

这个问题是可用的补丁在这里。

学分

我要感谢奥利弗·霍夫报告这一安全问题,凯文•Dunglas提供修复和Symfony核心团队审查补丁。欧宝娱乐app下载地址