安全问题
编辑本页警告:您正在浏览的文档欧宝体育电话欧宝娱乐app下载地址Symfony 2.6,现已不再维护。
读本页的更新版本用于Sy欧宝娱乐app下载地址mfony 6.2(当前稳定版本)。
安全问题
本文档解释了Symfony核心团队是如何处理Symfo欧宝娱乐app下载地址ny安全问题的(Symfony是主机上托管的代码)欧宝娱乐app下载地址symfony / symfony
Git存储库).
报告安全问题
如果您认为在Symfony中发现了安全问题,请不要使用错误跟踪器,也不要公开发布它。欧宝娱乐app下载地址相反,所有安全问题都必须发送到www.oldmanjams.com的安全欧宝娱乐app下载地址.发送到此地址的电子邮件将被转发到Symfony核心团队的私人邮件列表。欧宝娱乐app下载地址
解决的过程
对于每个报告,我们首先尝试确认漏洞。确认后,核心团队按照以下步骤制定解决方案:
- 向记者发送确认;
- 在补丁上工作;
- 从mitre.org获取CVE标识符;
为官方Symfony编写安全公告欧宝娱乐app下载地址博客关于漏洞。这篇文章应包含以下信息:
- 标题总是包含“安全发布”字符串;
- 漏洞描述;
- 受影响的版本;
- 可能的利用;
- 如何修补/升级/解决受影响的应用程序;
- CVE标识符;
- 学分。
- 将补丁和公告发送给记者审核;
- 将补丁应用到Symfony的所有维护版本;欧宝娱乐app下载地址
- 为所有受影响的版本打包新版本;
- 在Symfony官方发布这篇文章欧宝娱乐app下载地址博客(它也必须添加到“安全建议_”类别中);
- 更新安全咨询列表(见下文)。
- 更新公众信息安全通告数据库由FriendsOfPHP组织维护,并由
安全:检查
命令。
请注意
包含安全问题的发布不应在周六或周日进行,除非该漏洞已公开发布。
请注意
当我们正在做补丁的时候,请不要公开这个问题。
请注意
解决方案需要几天到一个月的时间,这取决于它的复杂性和与下游项目的协调(见下一段)。
与下游开源项目合作
由于S欧宝娱乐app下载地址ymfony被许多大型开源项目所使用,我们标准化了Symfony安全团队与下游项目在安全问题上的协作方式。具体流程如下:
- 在Symfony安全欧宝娱乐app下载地址团队确认安全问题后,它立即向下游项目安全团队发送电子邮件,告知他们该问题;
- Symf欧宝娱乐app下载地址ony安全团队创建了一个私有Git存储库,以简化问题上的协作,并将此存储库的访问权授予Symfony安全团队、受问题影响的Symfony贡献者以及每个下游项目的代表;
- 所有能够访问私有存储库的人都致力于通过拉请求、代码审查和注释来解决问题;
- 一旦找到修复,所有涉及的项目合作寻找联合发布的最佳日期(不能保证所有发布将在同一时间,但我们将努力使他们在同一时间)。当这个问题还不知道是否在野外被利用时,两周的时间似乎是合理的。
参与这一过程的下游项目列表保持尽可能小,以便在披露之前更好地管理机密信息的流动。因此,Symfony安全团队可以自行决定是否包含项目。欧宝娱乐app下载地址
到目前为止,以下项目已经验证了该流程,并且是该流程中包含的下游项目的一部分:
- Drupal(通常在周三发布)
- eZPublish
安全警告
提示
方法检查Symfony应用程序中的已知欧宝娱乐app下载地址安全漏洞安全:检查
命令。看到安全.
本节索引从Symfony 1.0.0开始在Symfony发行版中修复的安全漏洞:欧宝娱乐app下载地址
- 2015年5月26日:CVE-2015-4050: ESI未授权访问(欧宝娱乐app下载地址Symfony 2.3.29, 2.5.12和2.6.8)
- 2015年4月1日:请求类中的不安全方法(欧宝娱乐app下载地址Symfony 2.3.27, 2.5.11和2.6.6)
- 2015年4月1日:CVE-2015-2308: Esi代码注入(欧宝娱乐app下载地址Symfony 2.3.27, 2.5.11和2.6.6)
- 2014年9月3日:CVE-2014-6072: Web分析器中的CSRF漏洞(欧宝娱乐app下载地址Symfony 2.3.19, 2.4.9和2.5.4)
- 2014年9月3日:CVE-2014-6061:解析授权报头时的安全问题(欧宝娱乐app下载地址Symfony 2.3.19, 2.4.9和2.5.4)
- 2014年9月3日:CVE-2014-5245:直接访问可信代理后面的ESI url(欧宝娱乐app下载地址Symfony 2.3.19, 2.4.9和2.5.4)
- 2014年9月3日:CVE-2014-5244:恶意HTTP主机报头拒绝服务(欧宝娱乐app下载地址Symfony 2.3.19, 2.4.9和2.5.4)
- 2014年7月15日:安全版本:已发布Symfony 2.3欧宝娱乐app下载地址.18、2.4.8和2.5.2(cve - 2014 - 4931)
- 2013年10月10日:安全版本:Symfony 2.0.25欧宝娱乐app下载地址、2.1.13、2.2.9和2.3.6(cve - 2013 - 5958)
- 2013年8月7日:安全版本:已发布Symfony 2.0欧宝娱乐app下载地址.24、2.1.12、2.2.5和2.3.3(cve - 2013 - 4751而且cve - 2013 - 4752)
- 2013年1月17日安全发布:Symfony 2.0.2欧宝娱乐app下载地址2和2.1.7发布(cve - 2013 - 1348而且cve - 2013 - 1397)
- 2012年12月20日:安全版本:Symfony 2.0.2欧宝娱乐app下载地址0和2.1.5(cve - 2012 - 6431而且cve - 2012 - 6432)
- 2012年11月29日:安全版本:Symfony 2.0.1欧宝娱乐app下载地址9和2.1.4
- 2012年11月25日:安全发布:symfony 1.4.2欧宝娱乐app下载地址0发布(cve - 2012 - 5574)
- 2012年8月28日:安全发布:Symfony 2.0.1欧宝娱乐app下载地址7发布
- 2012年5月30日:安全发布:symfony 1.4.1欧宝娱乐app下载地址8发布(cve - 2012 - 2667)
- 2012年2月24日:安全发布:Symfony 2.0.1欧宝娱乐app下载地址1发布
- 11月16日:安全版本:Symfony 2.0.6欧宝娱乐app下载地址
- 2011年3月21日欧宝娱乐app下载地址Symfony 1.3.10和1.4.10:安全版本
- 2010年6月29日:安全版本:symfony 1.3.6欧宝娱乐app下载地址和1.4.6
- 2010年5月31日:欧宝娱乐app下载地址Symfony 1.3.5和1.4.5
- 2010年2月25日:安全版本:1.2.12、1.3.3和1.4.3
- 2010年2月13日:欧宝娱乐app下载地址Symfony 1.3.2和1.4.2
- 2009年4月27日:欧宝娱乐app下载地址symfony 1.2.6:安全修复
- 2008年10月3日欧宝娱乐app下载地址symfony 1.1.4发布:安全修复
- 2008年5月14日:欧宝娱乐app下载地址Symfony 1.0.16已经发布
- 2008年4月1日:欧宝娱乐app下载地址Symfony 1.0.13已经发布
- 2008年3月21日:欧宝娱乐app下载地址Symfony 1.0.12终于出来了!
- 2007年6月25日:欧宝娱乐app下载地址Symfony 1.0.5发布(安全修复)