cve - 2021 - 21424:防止用户身份验证机制的枚举
2021年5月12日·发表的法比安效力
影响版本
欧宝娱乐app下载地址Symfony > = 2.8.0 < 3.4.49 | > = 5.0.0 < 5.2.9版本的Symfony安全、保安、安全的核心,和安全HTTP组件是受此影响安全问题。
这个问题已经固定在Symfony 3.4.49, 4.4欧宝娱乐app下载地址.24, 5.2.9, 5.3.0 RC1。所有其他影响小版本的Symfony不会修补不再维护。欧宝娱乐app下载地址
描述
列举用户可能没有相关权限的能力由于不同的异常消息取决于用户是否存在。也可以列举用户通过使用时间攻击,通过比较时间当验证现有用户和一个不存在的用户进行身份验证。
403年代我们现在确保返回用户是否存在与否,如果密码是无效的或如果用户不存在。
学分
我要感谢詹姆斯•艾萨克Mathias Brodala和劳伦Minguet报告的问题和罗宾Chalas修复这个问题。
发表在#安全警告
发现Symfony的安全问题?欧宝娱乐app下载地址将详细信息发送到安全[在]symfony.c欧宝娱乐app下载地址om不公开披露它,直到我们可以提供一个解决。
管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。欧宝娱乐app下载地址
评论
Valentin Watel
说5月18日,2021年在19:14
我发现这个CVE的补丁已经固定到4.4版本。* symfony的组件/保安和symfo欧宝娱乐app下载地址ny / security-core。
请确认修复也已实现组件的版本4.4.22安全/ symfony-http吗?欧宝娱乐app下载地址
我问,因为我看到了解决https://github.com/symfony/security-http/commi欧宝娱乐app下载地址t/c55a8f70fb2a04cf8ec3263d337abb3f22fc0132但根据我们内部静态代码分析工具(SCA),这个版本没有解决CVE。
提前谢谢你!
请确认修复也已实现组件的版本4.4.22安全/ symfony-http吗?欧宝娱乐app下载地址
我问,因为我看到了解决https://github.com/symfony/security-http/commi欧宝娱乐app下载地址t/c55a8f70fb2a04cf8ec3263d337abb3f22fc0132但根据我们内部静态代码分析工具(SCA),这个版本没有解决CVE。
提前谢谢你!
Valentin Watel
说5月18日,2021年在二十16
我犯了一个错误在我最后的评论:
“安全/ symfo欧宝娱乐app下载地址ny-http”必须“symfony / security-http”
“安全/ symfo欧宝娱乐app下载地址ny-http”必须“symfony / security-http”
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。
Jordi Boggiano is a certified Symfony engineer.
Get certified! Online exams available in all countries.
Register Now