CVE-2019-10911:在记住我的cookie散列中添加分隔符

影响版本

欧宝娱乐app下载地址Symfony安全组件的2.7.0至2.7.50、2.8.0至2.8.49、3.4.0至3.4.25、4.1.0至4.1.11和4.2.0至4.2.6版本受此安全问题影响。

该问题已在Symfony 2.7.51, 2.8.50,欧宝娱乐app下载地址 3.4.26, 4.1.12和4.2.7中修复。

注意，没有为Symfony 3.0、3.1、3.2、3.3和4.0提供修欧宝娱乐app下载地址复，因为它们不再被维护。

描述

这修复了cookie中的部分过期时间可能被认为是用户名的一部分，或者用户名的一部分可能被认为是过期时间的一部分的情况。攻击者可以修改“记住我”cookie并作为不同的用户进行身份验证。这种攻击只有在启用了remember me功能并且两个用户共享密码散列或密码散列(例如UserInterface::getPassword())对所有用户都为空时才可能发生(如果密码由外部系统检查，例如单点登录)。

决议

现在，我们用冒号分隔cookie散列的各个组件(用户名、过期时间、密码)。

针对此问题的补丁已经可用在这里对于分支3.4。

学分

我要感谢Jon Cave的报道，感谢Pascal Borreli和Michael Cullum解决了这个问题。