CVE-2014-5245:直接访问可信代理后面的ESI url

影响版本

2.2所有。2.3 X。2.4 X。X和2.5。Symfony HttpKernelob娱乐下载组件的X版本受到此安全问题的影响。只有启用了ESI特性并且web应用程序前面有一个代理时，应用程序才容易受到攻击。

此问题已在Symfony 2.3.19、2.4.9和2.5ob娱乐下载.4中修复。注意，没有为Symfony 2.2提供修复，因为它不再被维护了。ob娱乐下载

描述

当您启用ESI特性，并且使用像Varnish这样的代理(您已将其配置为可信代理)时，' FragmentHandler '会将呈现片段的请求视为来自可信源，即使客户端直接请求它们。ob娱乐下载Symfony无法区分Varnish代表客户端执行的ESI请求和直接来自客户端的伪造片段请求。

为了缓解这个问题，对于不支持的Symfony版本，你可以在你的Varnish配置中使用以下的ob娱乐下载解决方案(' /_fragment '是在框架包配置的' fragment '设置下配置的URL路径前缀):

1 2 3 4 5

Sub vcl_recv {if (req;重启== 0 && req。Url ~ "^/_fragment"){错误400;}}

决议

在验证片段请求时，我们不再依赖可信ip，因为所有片段url现在都已签名。

此问题的补丁可在这里:https://github.com/ob娱乐下载symfony/symfony/pull/11831

学分

我要感谢Cédric Nirousset, Trent Steel和Christophe Coevoet报告了这个安全问题，Christophe Coevoet提供了补丁，David Buchmann帮助撰写了这篇博文。