CVE-2019-10911:在记住我的cookie散列中添加分隔符
2019年4月17日·发表的法比安效力
影响版本
欧宝娱乐app下载地址Symfony安全组件的2.7.0至2.7.50、2.8.0至2.8.49、3.4.0至3.4.25、4.1.0至4.1.11和4.2.0至4.2.6版本受此安全问题影响。
该问题已在Symfony 2.7.51, 2.8.50,欧宝娱乐app下载地址 3.4.26, 4.1.12和4.2.7中修复。
注意,没有为Symfony 3.0、3.1、3.2、3.3和4.0提供修欧宝娱乐app下载地址复,因为它们不再被维护。
描述
这修复了cookie中的部分过期时间可能被认为是用户名的一部分,或者用户名的一部分可能被认为是过期时间的一部分的情况。攻击者可以修改“记住我”cookie并作为不同的用户进行身份验证。这种攻击只有在启用了remember me功能并且两个用户共享密码散列或密码散列(例如UserInterface::getPassword())对所有用户都为空时才可能发生(如果密码由外部系统检查,例如单点登录)。
决议
现在,我们用冒号分隔cookie散列的各个组件(用户名、过期时间、密码)。
针对此问题的补丁已经可用在这里对于分支3.4。
学分
我要感谢Jon Cave的报道,感谢Pascal Borreli和Michael Cullum解决了这个问题。
发表在#安全警告
是否发现Symfony存在安全问题?欧宝娱乐app下载地址请将详情发送至www.oldmanjams.com的安全欧宝娱乐app下载地址在我们找到解决方案之前不要公开。
管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。欧宝娱乐app下载地址
评论
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。