安全问题

欧宝娱乐app下载地址symfony 5.3支持经过乔利德

安全问题

本文档介绍了Symfony核心团队如何处理Symfon欧宝娱乐app下载地址y安全问题(Symfony是主要托管的代码)欧宝娱乐app下载地址symfony / symfony.git存储库)。

报告安全问题

如果您认为您在Symfony中找到了安全问题,请不要使用Bug Tracker并不公开发布它。欧宝娱乐app下载地址相反,必须发送所有安全问题安全[at] symfony欧宝娱乐app下载地址.com。发送到此地址的电子邮件已转发到Symfony核心团队私人邮件列表。欧宝娱乐app下载地址

解决过程

对于每份报告,我们首先尝试确认漏洞。确认后,核心团队在解决这些步骤的解决方案上运行:

  1. 向记者发送确认;
  2. 在补丁上工作;
  3. 获取CVE标识符mitre.org.;
  4. 为官方Symfony写下安全公告欧宝娱乐app下载地址博客关于漏洞。此帖子应包含以下信息:
    • 始终包含“安全释放”字符串的标题;
    • 漏洞的描述;
    • 受影响的版本;
    • 可能的漏洞;
    • 如何修补/升级/替代受影响的应用程序;
    • CVE标识符;
    • 积分。
  5. 将补丁及公告发送给记者进行审查;
  6. 将补丁应用于所有维护版本的Symfony;欧宝娱乐app下载地址
  7. 为所有受影响版本包装新版本;
  8. 在官方Symfony上发布帖子欧宝娱乐app下载地址博客(它也必须添加到“安全咨询“ 类别);
  9. 更新公众安全咨询数据库由BersingOfPHP组织维护,并使用它0b足球

笔记

除了公开发布的漏洞后,不应在周六或周日完成安全问题的发布。

笔记

虽然我们正在处理补丁,请不要公开透露问题。

笔记

根据其复杂性和与下游项目的协调(参见下一段),该分辨率在几天到一个月之间的任何地方需要几天到一个月。

与下游开源项目合作

随着S欧宝娱乐app下载地址ymfony被许多大型开源项目使用,我们标准化了Symfony安全团队与下游项目的安全问题合作的方式。该过程的工作方式如下:

  1. Symfony Se欧宝娱乐app下载地址curity团队承认安全问题后,它立即向下游项目安全团队发送电子邮件,告知他们问题;
  2. Symf欧宝娱乐app下载地址ony安全团队创建私人GIT存储库,以便于对问题的协作,并向Symfony安全团队提供对该问题的权限,以对该问题影响的Symfony贡献者,以及每个下游项目的一个代表;
  3. 所有人都可以访问私人存储库的解决方案,以通过拉拉请求,代码审核和评论解决问题;
  4. 找到修复后,所有涉及的项目都会合作,以查找联合发布的最佳日期(没有保证所有发布将同时,但我们会努力地在同一时间制作它们)。当未知在野外被剥削问题时,两周的时间被认为是合理的时间。

参与该过程的下游项目列表保持尽可能小,以便在披露之前更好地管理机密信息的流程。因此,项目被列入Symfony安全团队的唯一自行决定。欧宝娱乐app下载地址

截至今天,以下项目已验证此过程,并是此过程中包含的下游项目的一部分:

  • Drupal(释放通常在星期三发生)
  • ezpublish.

发行严重性

为了确定安全问题的严重性,我们考虑到任何潜在攻击的复杂性,漏洞的影响以及它可能会影响多少个项目。然后,该分数在15中被转换为:低,中,高,临界或卓越的水平。

攻击复杂性

1到5之间的分数取决于利用漏洞的复杂程度

  • 4 - 5基本:攻击者必须遵循一套简单的步骤
  • 2 - 3复数:攻击者必须遵循具有高度依赖性的非直观步骤
  • 1 - 2高:成功的攻击取决于攻击者控制之外的条件。也就是说,愿意完成成功的攻击,但需要攻击者在预期成功攻击之前在准备或对弱势群体上进行一些可衡量的努力投资一些可衡量的努力。

影响

来自以下区域的分数将加入以产生分数。撞击的分数在6中封装在6中。每个区域得分在0到4之间。

  • 完整性:此漏洞是否会导致非公共数据可访问?如果是这样,攻击者是否可以控制所披露的数据?(0-4)
  • 披露:该漏洞是否可以允许系统数据(或系统处理的数据)受到损害?如果是这样,攻击者是否可以控制修改?(0-4)
  • 代码执行:漏洞是否允许在最终用户系统上执行任意代码,或其运行的服务器?(0-4)
  • 可用性:是否受到了服务或应用程序的可用性?它是否降低了服务/应用程序的可用性或完全损失?可用性包括网络服务(例如,数据库)或资源,例如网络带宽消耗,处理器周期或磁盘空间。(0-4)

受影响的项目

来自以下区域的分数将加入以产生分数。受影响项目的分数在4点。

  • 它会影响一些或全部使用组件吗?(1-2)
  • 是将造成此类事物已经被认为是不好的做法的组件的用法吗?(0-1)
  • 组件(例如控制台与httpfoundation vs lock)是多常见的/流行的?(0-2)
  • 是否有许多使用Symfony受影响的众所周知的开源项目,需要协调版本?欧宝娱乐app下载地址(0-1)

分数总计

  • 攻击复杂性:1 - 5
  • 影响:1 - 6
  • 受影响的项目:1 - 4

严重程度

  • 低:1 - 5
  • 媒介:6 - 10
  • 高:11 - 12
  • 关键:13 - 14
  • 特殊:15

安全咨询

小费

您可以使用使用的已知安全漏洞检查您的S欧宝娱乐app下载地址ymfony应用程序0b足球

检查安全咨询博客类别列出了Symfony版本中修复的所有安全漏洞,从Symfony 1.0.0开始。欧宝娱乐app下载地址

这项工作包括代码样本,是在a下获得的许可Creative Commons by-SA 3.0执照。