Säkerhetsbulletin från Debian
DSA-3402-1 symfony -- säkerhetsuppdatering
- Rapporterat den:
- 2015-11-24
- Berörda paket:
- symfony
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-8124, CVE-2015-8125.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i symfony, ett ramverk för att skapa webbplatser och webbapplikationer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2015-8124
RedTeam Pentesting GmbH-gruppen upptäckte en sessionsfixeringssårbarhet i loginfunktionen
Remember Me
, som tillät en angripare att personifiera offret mot webbapplikationen om sessionsid-värdet tidigare var känt för angriparen. - CVE-2015-8125
Flera potentiella remote-timingangreppssårbarheter har upptäckts i klasser från Symfony Security-komponenten och i legacy CSRF-implementationen från Symfony Form-komponenten.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 2.3.21+dfsg-4+deb8u2.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.7.7+dfsg-1.
Vi rekommenderar att ni uppgraderar era symfony-paket.
- CVE-2015-8124