Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3276-1 symfony

Säkerhetsbulletin från Debian

DSA-3276-1 symfony -- säkerhetsuppdatering

Rapporterat den:

2015-05-31

Berörda paket:

symfony

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-4050.

Ytterligare information:

Jakub Zalas upptäckte att Symfony, ett ramverk för att skapa webbplatser och webbapplikationer, var sårbart för restriktionsförbigång. Det påverkade applikationer med ESI- eller SSI-stöd som använder FragmentListener aktiverat. En illasinnad användare kunde anropa vilken kontroller som helst via /_fragment-sökvägen genom att tillhandahålla en ogiltig hash i URLen (eller genom att ta bort den), och därmed förbigå URL-signering och säkerhetsregler.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.3.21+dfsg-4+deb8u1.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 2.7.0~beta2+dfsg-2.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.7.0~beta2+dfsg-2.

Vi rekommenderar att ni uppgraderar era symfony-paket.