Debians sikkerhedsbulletin

DSA-3402-1 symfony -- sikkerhedsopdatering

Rapporteret den:
24. nov 2015
Berørte pakker:
symfony
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-8124, CVE-2015-8125.
Yderligere oplysninger:

Flere sårbarheder er opdaget i symfony, et framework til oprettelse af websteder og webapplikationer. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2015-8124

    RedTeam Pentesting GmbH-holdet opdagede en sessionsfikseringssårbarhed i Remember Me-loginfunktionen, hvilket gjorde det muligt for en angriber, at udgive sig for at være offeret over for webapplikationen, hvis sessions id-værdi tidligere havde været kendt af angriberen.

  • CVE-2015-8125

    Flere potentielle fjernudnytbare sårbarheder i forbindelse med timingangreb, blev opdaget i klasse fra Symfony Security-komponenten og i legacy-implementeringen af CSRF fra Symfony Form-komponenten.

I den stabile distribution (jessie), er disse problemer rettet i version 2.3.21+dfsg-4+deb8u2.

I den ustabile distribution (sid), er disse problemer rettet i version 2.7.7+dfsg-1.

Vi anbefaler at du opgraderer dine symfony-pakker.