Рекомендация Debian по безопасности

DSA-3402-1 symfony -- обновление безопасности

Дата сообщения:
24.11.2015
Затронутые пакеты:
symfony
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-8124, CVE-2015-8125.
Более подробная информация:

В symfony, инфраструктуре для создания веб-сайтов и веб-приложений, было обнаружено несколько уязвимостей. Проекта Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2015-8124

    Команда RedTeam Pentesting GmbH обнаружила уязвимость фиксации сессии в коде, реализующем Remember Me в login, которая позволяет злоумышленнику выдать себя за жертву атаки в том случае, если злоумышленнику известно идентификационное значение сессии.

  • CVE-2015-8125

    Несколько потенциальных удалённых атак через тайминги было обнаружено в классах компонента Symfony Security и в устаревшей реализации CSRF в компоненте Symfony Form.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.3.21+dfsg-4+deb8u2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.7.7+dfsg-1.

Рекомендуется обновить пакеты symfony.