Debians sikkerhedsbulletin
DSA-3402-1 symfony -- sikkerhedsopdatering
- Rapporteret den:
- 24. nov 2015
- Berørte pakker:
- symfony
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-8124, CVE-2015-8125.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i symfony, et framework til oprettelse af websteder og webapplikationer. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-8124
RedTeam Pentesting GmbH-holdet opdagede en sessionsfikseringssårbarhed i
Remember Me
-loginfunktionen, hvilket gjorde det muligt for en angriber, at udgive sig for at være offeret over for webapplikationen, hvis sessions id-værdi tidligere havde været kendt af angriberen. - CVE-2015-8125
Flere potentielle fjernudnytbare sårbarheder i forbindelse med timingangreb, blev opdaget i klasse fra Symfony Security-komponenten og i legacy-implementeringen af CSRF fra Symfony Form-komponenten.
I den stabile distribution (jessie), er disse problemer rettet i version 2.3.21+dfsg-4+deb8u2.
I den ustabile distribution (sid), er disse problemer rettet i version 2.7.7+dfsg-1.
Vi anbefaler at du opgraderer dine symfony-pakker.
- CVE-2015-8124