安全版本(CVE-2014-4931): Symfony 2.3.18欧宝娱乐app下载地址、2.4.8和2.5.2已发布
法比安效力
欧宝娱乐app下载地址Symfony 2.3.18、2.4.8和2.5.2刚刚发布;它们包含了FrameworkBundle (CVE-2014-4931)提供的Translator类的安全修复。
请注意
今天发布欧宝娱乐app下载地址的Symfony版本还包含针对JSONP漏洞的服务器端缓解,如中所述cve - 2014 - 4671.你可以在这里了解更多使用Rosetta Flash滥用JSONP.另外,如果你正在使用NelmioSecurityBundle,禁用内容类型嗅探用于脚本资源。
影响版本
2.0所有。2.1 X。2.2 X。2.3 X。2.4 X。X和2.5。来自Symfony全栈框架的X版本FrameworkBundle受到此问题的影响。欧宝娱乐app下载地址转换器组件本身并不容易受到攻击。
描述
调查问题时# 11093,杰里米Derusse发现Symfony在FrameworkBundle中实现翻译缓存的方式存在严重的代码注入问题。欧宝娱乐app下载地址
您的Sym欧宝娱乐app下载地址fony应用程序是脆弱的,如果您满足以下条件:
- 您正在使用来自FrameworkBu欧宝娱乐app下载地址ndle的Symfony翻译系统(所以基本上如果您正在使用Symfony全栈—例如,如果您在使用Silex的翻译组件,则不会受到影响);
- 您不会清除来自URL的区域设置(任何带有
_locale例如,参数):
当受到攻击时,攻击者可以提交一个无效的区域设置值,该值可能包含一些将由Symfony执行的PHP代码。欧宝娱乐app下载地址这是因为区域设置值被转储到在缓存中生成的PHP文件中,而没有首先进行清理。
决议
此补丁通过拒绝包含区域设置有效字符范围之外的字符来解决该问题。欧宝娱乐app下载地址Symfony不验证区域设置,因为任何人可以创建任何区域设置名称。因此,这个补丁在不破坏BC的情况下使一切都变得安全(除非开发人员使用带有“奇怪”字符的locale,但我怀疑它是否普遍)。
您需要根据您的项目使用的分支将Symfo欧宝娱乐app下载地址ny升级到最新版本,或者您可以应用以下补丁:https://github.com/欧宝娱乐app下载地址symfony/symfony/commit/06a80fbdbe744ad6f3010479ba64ef5cf35dd 9 af.patch
学分
我要感谢杰里米Derusse用于报告此安全问题并提供补丁。
提示
要获得有关重要Symfony日期的通知,请考虑订阅欧宝娱乐app下载地址路线图的通知.
提示
方法检查项目是否已安装最新的安全修补程序SensioLabs安全咨询检查器,或使用SensioLabsInsight.
评论
表单小部件的更改在我的项目中产生了一些问题。
我现在有javascript错误。
因为你在html表单中添加了换行符。
所以我们不能更新到2.3.18。我们必须更新所有的树枝视图。
##############
树枝视图
##############
'{% trans from "settingCampaign" %}广告商:{% endtrans %}'+
'{{form_widget(form.advertiserId)}}'+
" +
###############
2.3.17版本:
###############
广告商:+
" +
" +
###############
2.3.18版本:
###############
广告商:+
'
' +
" +
我还没有找到任何关于CNET妥协的真实细节。它是当前版本的Symfony吗?欧宝娱乐app下载地址无视安全建议的旧版本?有些事情还没有被理解和解决?
Fabien给出的链接涉及到另一个PR (https://github.com/symfony/symfony/pull/11367)欧宝娱乐app下载地址在同一版本中合并和发布。
回答你的问题,这个问题属于“代码注入”家族。
@radutopala, @twencl CNET在路由中不使用locale,这可能与这个问题无关。顺便说一句,他们还在生产环境中部署了app_dev.php,并删除了IP检查(https://twitter.com/lucas_courot/status/489148134560649216)
安全报告
===============
检查器检测到1个(多个)已知漏洞的包
您的项目。我们建议您查看相关的安全公告
并升级这些依赖关系。
欧宝娱乐app下载地址symfony / symfony (v2.5.2)
------------------------
CVE-2014-4931: Symfony在FrameworkBundle中实现欧宝娱乐app下载地址翻译缓存的方式中的代码注入
http://欧宝娱乐app下载地址www.oldmanjams.com/blog/security-releases-cve-2014-4931-symfony-2-3-18-2-4-8-and-2-5-2-released
Jérémy DERUSSÉ is a certified Twig designer.
Get certified! Online exams available in all countries.
Register Now欧宝娱乐app下载地址Symfony 2.3.17、2.4.7和2.5.2刚刚发布
应该是:
欧宝娱乐app下载地址Symfony 2.3.18、2.4.8和2.5.2刚刚发布