Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3402-1 symfony

Bulletin d'alerte Debian

DSA-3402-1 symfony -- Mise à jour de sécurité

Date du rapport :

24 novembre 2015

Paquets concernés :

symfony

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-8124, CVE-2015-8125.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans symfony, une plate-forme de création de sites et d'applications web. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2015-8124

  L'équipe de RedTeam Pentesting GmbH a découvert une vulnérabilité de fixation de session dans la fonctionnalité de connexion Remember Me, permettant à un attaquant d'usurper l'identité de la victime envers l'application web si la valeur d'identification de la session était connue précédemment par l'attaquant.

• CVE-2015-8125

  Plusieurs vulnérabilités potentielles d'attaque temporelle à distance ont été découvertes dans des classes du composant Security de Symfony et dans l'ancienne implémentation de CSRF du composant Form de Symfony.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2.3.21+dfsg-4+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.7.7+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets symfony.