Säkerhetsbulletin från Debian

DSA-3588-1 symfony -- säkerhetsuppdatering

Rapporterat den:
2016-05-29
Berörda paket:
symfony
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-1902, CVE-2016-4423.
Ytterligare information:

Två sårbarheter har upptäckts i Symfony, ett PHP-ramverk.

  • CVE-2016-1902

    Lander Brandt upptäckte att klassen SecureRandom kan generera svaga slumptal för kryptografisk användning under vissa inställningar. Om funktionerna random_bytes() eller openssl_random_pseudo_bytes() inte finns tillgängliga bör inte utdatan från SecureRandom anses vara säker.

  • CVE-2016-4423

    Marek Alaksa från Citadelo upptäckte att det är möjligt att fylla sessionslagringsutrymmet genom att skicka icke existerande stora användarnamn.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 2.3.21+dfsg-4+deb8u3.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 2.8.6+dfsg-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.8.6+dfsg-1.

Vi rekommenderar att ni uppgraderar era symfony-paket.