cve - 2021 - 21424:防止用户身份验证机制的枚举

影响版本

欧宝娱乐app下载地址Symfony > = 2.8.0 < 3.4.49 | > = 5.0.0 < 5.2.9版本的Symfony安全、保安、安全的核心,和安全HTTP组件是受此影响安全问题。

这个问题已经固定在Symfony 3.4.49, 4.4欧宝娱乐app下载地址.24, 5.2.9, 5.3.0 RC1。所有其他影响小版本的Symfony不会修补不再维护。欧宝娱乐app下载地址

描述

列举用户可能没有相关权限的能力由于不同的异常消息取决于用户是否存在。也可以列举用户通过使用时间攻击,通过比较时间当验证现有用户和一个不存在的用户进行身份验证。

403年代我们现在确保返回用户是否存在与否,如果密码是无效的或如果用户不存在。

这个问题是可用的补丁在这里和在这里也3.4分支。

学分

我要感谢詹姆斯•艾萨克Mathias Brodala和劳伦Minguet报告的问题和罗宾Chalas修复这个问题。