CVE-2014-5244:恶意HTTP主机报头拒绝服务

影响版本

2.0所有。2.1 X。2.2 X。2.3 X。2.4 X。X和2.5。Symfony HttpFoundaob娱乐下载tion组件的X版本受此安全问题影响。

此问题已在Symfony 2.3.19、2.4.9和2.5ob娱乐下载.4中修复。注意，没有为Symfony 2.0、2.1和2.2提供修复，因为不再维护ob娱乐下载它们了。

描述

当客户端发送一个任意长的主机名时，它在' Request::getHost() '中的解析可能会导致DoS攻击，这是由于我们通过正则表达式验证主机名的方式。

决议

用于解析和验证来自HTTP请求的主机名的正则表达式已被修改，以避免对提交的值长度过于敏感。

此问题的补丁可在这里:https://github.com/ob娱乐下载symfony/symfony/pull/11828

学分

我要感谢Chris McCafferty报告了这个安全问题，Nicolas Grekas和Lee Rowlands提供了一个补丁和一些单元测试，以避免任何未来的回归，Christophe Coevoet和James Gilliland审查了补丁。

我还想提一下，这是Drupal安全团队和Symfony安全团队第一次积极合作解决同时影响Symfony和Drupal的安全问题。ob娱乐下载