Thông tin về bảo mật / 2015 / Thông tin bảo mật -- DSA-3276-1 symfony

Cố vấn bảo mật Debian

DSA-3276-1 symfony -- cập nhật bảo mật

Ngày báo cáo:

31 Th5 2015

Gói chịu tác động:

symfony

Có thể bị tấn công:

Có

Tham khảo cơ sở dữ liệu bảo mật:

Trong từ điển CVE của Miter: CVE-2015-4050.

Thêm thông tin:

Jakub Zalas đã phát hiện ra trong Symfony, một khung để tạo trang thông tin điện tử và ứng dụng trên nền web, bị tấn công bằng cách đi vòng qua các hạn chế. Nó ảnh hưởng đến ứng dụng có bật hỗ trợ ESI hoặc SSI, cái mà dùng FragmentListener. Người dùng dã tâm có thể gọi bất kỳ controller nào thông qua đường dẫn /_fragment bằng cách đưa ra một mã băm hợp lệ trong URL (hoặc xóa bỏ nó), đi vòng qua quy tắc bảo mật và ký URL.

Với bản phân phối ổn định (jessie), lỗi này được sửa trong phiên bản 2.3.21+dfsg-4+deb8u1.

Với bản phân phối thử nghiệm (stretch), lỗi này sẽ sớm được sửa trong phiên bản 2.7.0~beta2+dfsg-2.

Với bản phân phối chưa ổn định (sid), lỗi này sẽ sớm được sửa trong phiên bản 2.7.0~beta2+dfsg-2.

Chúng tôi khuyên bạn nên nâng cấp gói symfony của mình.