Информация по безопасности / 2015 / Информация о безопасности -- DSA-3402-1 symfony

Рекомендация Debian по безопасности

DSA-3402-1 symfony -- обновление безопасности

Дата сообщения:

24.11.2015

Затронутые пакеты:

symfony

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-8124, CVE-2015-8125.

Более подробная информация:

В symfony, инфраструктуре для создания веб-сайтов и веб-приложений, было обнаружено несколько уязвимостей. Проекта Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-8124

  Команда RedTeam Pentesting GmbH обнаружила уязвимость фиксации сессии в коде, реализующем Remember Me в login, которая позволяет злоумышленнику выдать себя за жертву атаки в том случае, если злоумышленнику известно идентификационное значение сессии.

• CVE-2015-8125

  Несколько потенциальных удалённых атак через тайминги было обнаружено в классах компонента Symfony Security и в устаревшей реализации CSRF в компоненте Symfony Form.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.3.21+dfsg-4+deb8u2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.7.7+dfsg-1.

Рекомендуется обновить пакеты symfony.