Debians sikkerhedsbulletin

DSA-3588-1 symfony -- sikkerhedsopdatering

Rapporteret den:
29. maj 2016
Berørte pakker:
symfony
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2016-1902, CVE-2016-4423.
Yderligere oplysninger:

To sårbarheder blev opdaget i Symfony, et PHP-framework.

  • CVE-2016-1902

    Lander Brandt opdagede at klassen SecureRandom måske kunne generere svage tilfældige tal til kryptografisk brug ved visse indstillinger. Hvis funktionerne random_bytes() eller openssl_random_pseudo_bytes() ikke er tilgængelige, skal uddata fra SecureRandom ikke betragtes som sikkert.

  • CVE-2016-4423

    Marek Alaksa fra Citadelo opdagede at det var muligt at fylde sessionslageret op, ved at indsende ikke-eksisterende lange brugernavne.

I den stabile distribution (jessie), er disse problemer rettet i version 2.3.21+dfsg-4+deb8u3.

I distributionen testing (stretch), er disse problemer rettet i version 2.8.6+dfsg-1.

I den ustabile distribution (sid), er disse problemer rettet i version 2.8.6+dfsg-1.

Vi anbefaler at du opgraderer dine symfony-pakker.