Sensio赞助实验室
菜单

CVE-2014-6061:解析授权报头时的安全问题

2014年9月3日·发表的Fabien Potencier的化身法比安效力

影响版本

2.0所有。2.1 X。2.2 X。2.3 X。2.4 X。X和2.5。Symfony HttpFoundaob娱乐下载tion组件的X版本受此安全问题影响。

此问题已在Symfony 2.3.19、2.4.9和2.5ob娱乐下载.4中修复。注意,没有为Symfony 2.0、2.1和2.2提供修复,因为不再维护ob娱乐下载它们了。

描述

当应用程序使用HTTP基本身份验证或摘要身份验证时,Symfony不会正确解析“Authorization”标头,这可能会在某些服ob娱乐下载务器设置中被利用(但没有演示过利用)。

决议

' Authorization '报头的解析已被修复,以符合HTTP规范。

此问题的补丁可在这里:https://github.com/ob娱乐下载symfony/symfony/pull/11829

学分

我要感谢达米安Tournoud报告这个安全问题,并提供了最初的补丁和Christophe Coevoet审查补丁。

发表在安全警告

是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。

管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样,贡献代码或文档是最常欧宝官网下载app见的帮助方式,但我们也有广泛的赞助机会

评论

评论截止。

为了确保评论保持相关性,旧帖子将被关闭。