Рекомендация Debian по безопасности
DSA-3402-1 symfony -- обновление безопасности
- Дата сообщения:
- 24.11.2015
- Затронутые пакеты:
- symfony
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2015-8124, CVE-2015-8125.
- Более подробная информация:
-
В symfony, инфраструктуре для создания веб-сайтов и веб-приложений, было обнаружено несколько уязвимостей. Проекта Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2015-8124
Команда RedTeam Pentesting GmbH обнаружила уязвимость фиксации сессии в коде, реализующем
Remember Me
в login, которая позволяет злоумышленнику выдать себя за жертву атаки в том случае, если злоумышленнику известно идентификационное значение сессии. - CVE-2015-8125
Несколько потенциальных удалённых атак через тайминги было обнаружено в классах компонента Symfony Security и в устаревшей реализации CSRF в компоненте Symfony Form.
В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.3.21+dfsg-4+deb8u2.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.7.7+dfsg-1.
Рекомендуется обновить пакеты symfony.
- CVE-2015-8124