Debians sikkerhedsbulletin
DSA-3588-1 symfony -- sikkerhedsopdatering
- Rapporteret den:
- 29. maj 2016
- Berørte pakker:
- symfony
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2016-1902, CVE-2016-4423.
- Yderligere oplysninger:
-
To sårbarheder blev opdaget i Symfony, et PHP-framework.
- CVE-2016-1902
Lander Brandt opdagede at klassen SecureRandom måske kunne generere svage tilfældige tal til kryptografisk brug ved visse indstillinger. Hvis funktionerne random_bytes() eller openssl_random_pseudo_bytes() ikke er tilgængelige, skal uddata fra SecureRandom ikke betragtes som sikkert.
- CVE-2016-4423
Marek Alaksa fra Citadelo opdagede at det var muligt at fylde sessionslageret op, ved at indsende ikke-eksisterende lange brugernavne.
I den stabile distribution (jessie), er disse problemer rettet i version 2.3.21+dfsg-4+deb8u3.
I distributionen testing (stretch), er disse problemer rettet i version 2.8.6+dfsg-1.
I den ustabile distribution (sid), er disse problemer rettet i version 2.8.6+dfsg-1.
Vi anbefaler at du opgraderer dine symfony-pakker.
- CVE-2016-1902