CVE-2018-11386:使用PDOSessionHandler时拒绝服务

影响版本

欧宝娱乐app下载地址Symfony 2.7.0至2.7.47、2.8.0至2.8.40、3.3.0至3.3.16、3.4.0至3.4.10和4.0.0至4.0.10版本的http-foundation组件受此安全问题影响。

该问题已在Symfony 2.7.48、2.8.41、3欧宝娱乐app下载地址.3.17、3.4.11和4.0.11中修复。4.1.0在最终发布之前也进行了修复。

注意，没有为Symfony 3.0、3.1和3.2提供修复，因为它们不再欧宝娱乐app下载地址被维护。

描述

的PDOSessionHandler类允许在PDO连接上存储会话。在某些配置下(见下文)，使用精心设计的有效负载，可以在没有太多资源的情况下对Symfony应用程序执行拒绝服务。欧宝娱乐app下载地址

应用程序在以下情况下容易受到攻击:

• 它在使用PDOSessionHandler存储它的会话;

• 它使用MySQL作为会话管理的后端PDOSessionHandler；

• 而SQL模式就是这样不包含STRICT_ALL_TABLES或STRICT_TRANS_TABLES(检查通过选择@@sql_mode）.

当应用程序具有此配置时，由于精心设计的会话会导致代码中的无限循环，因此拒绝服务会变得更容易。

决议

我们通过避免无限循环来解决这个问题。

学分

我要感谢Federico Stange报告这个安全问题，并与我们一起努力找出这个问题发生的时间，Nicolas Grekas致力于修复，Symfony核心团队审查补丁。欧宝娱乐app下载地址