Säkerhetsbulletin från Debian
DSA-3588-1 symfony -- säkerhetsuppdatering
- Rapporterat den:
- 2016-05-29
- Berörda paket:
- symfony
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-1902, CVE-2016-4423.
- Ytterligare information:
-
Två sårbarheter har upptäckts i Symfony, ett PHP-ramverk.
- CVE-2016-1902
Lander Brandt upptäckte att klassen SecureRandom kan generera svaga slumptal för kryptografisk användning under vissa inställningar. Om funktionerna random_bytes() eller openssl_random_pseudo_bytes() inte finns tillgängliga bör inte utdatan från SecureRandom anses vara säker.
- CVE-2016-4423
Marek Alaksa från Citadelo upptäckte att det är möjligt att fylla sessionslagringsutrymmet genom att skicka icke existerande stora användarnamn.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 2.3.21+dfsg-4+deb8u3.
För uttestningsutgåvan (Stretch) har dessa problem rättats i version 2.8.6+dfsg-1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.8.6+dfsg-1.
Vi rekommenderar att ni uppgraderar era symfony-paket.
- CVE-2016-1902