cve - 2018 - 11385:后卫身份验证会话固定问题
2018年5月25日·发表的法比安效力
影响版本
欧宝娱乐app下载地址Symfony 2.7.0 2.7.47, 2.8.0 2.8.40, 3.3.0 3.3.16, 3.4.0 3.4.10和4.0.0 4.0.10版本的Symfony安全组件受此影响安全问题。
这个问题已经固定在Symfony 2.7.48, 2.8欧宝娱乐app下载地址.41, 3.3.17, 3.4.11, 4.0.11。
注意,没有修复为Symfony提供了3.0,3.1和3.2不再维护。欧宝娱乐app下载地址
描述
“警卫”中的会话固定漏洞登录功能可能允许攻击者冒充受害人向web应用程序如果会话id值之前攻击者。
描述漏洞允许攻击者访问一个Symfony的web应用程序的攻击用户的权限。欧宝娱乐app下载地址攻击要求“身份验证”登录功能是使用的应用程序。另外攻击者获得了PHPSESSID cookie值或已成功设置一个新值在用户的浏览器中。由于其需求描述漏洞只提出了一个低风险。
决议
修复会话迁移成功后登录通过“警卫”登录功能。
此外,会话也迁移成功登录后,其他几个身份验证系统,在一个会话中很少使用环境(如浏览器)。正因为如此,一个会话固定攻击是极不可能的。然而,一个补丁包含尽可能的安全。
学分
我要感谢克里斯·威尔金森报告这一安全问题,提供一个修复瑞安·韦弗,查看补丁的Symfony核心团队。欧宝娱乐app下载地址
发表在#安全警告
发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。
管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址
评论
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。