CVE-2014-6072: Web分析器中的CSRF漏洞

影响版本

2.0所有。2.1 X。2.2 X。2.3 X。2.4 X。X和2.5。Symfony WebProfileob娱乐下载r包的X版本受到此安全问题的影响。

此问题已在Symfony 2.3.19、2.4.9和2.5ob娱乐下载.4中修复。注意，没有为Symfony 2.0、2.1和2.2提供修复，因为不再维护ob娱乐下载它们了。

描述

Symfob娱乐下载ony Web Profiler是一个很棒的工具发展工具，但不应在生产服务器上启用。如果在生产中启用了它，则必须适当地保护它，以便只有经过授权的人员才能访问它。开发人员对此必须非常谨慎，因为Web分析器提供了许多关于Symfony项目的敏感信息，任何攻击者都可以利用其中的许多信息。ob娱乐下载仅列举一些敏感信息:用户登录、用户cookie、执行的SQL语句……

也就是说，即使web剖析器是安全的，也可以利用web剖析器的导入/导出特性，因为导入剖析器的表单没有受到CSRF攻击的保护。再加上概要文件是作为PHP序列化字符串导入的，这使得应用程序容易受到代码注入的攻击。

决议

由于Web分析器的导入/导出特性不是很有用，而且PHP的“序列化/反序列化”函数有很长的漏洞历史，我决定从Web界面中删除这个特性，并将其作为CLI命令移动。

如果您依赖于此功能，现在需要使用分析器:进口和"分析器:出口Weob娱乐下载bProfiler bundle从命令行界面提供的Symfony命令。

这些命令在默认情况下不启用，必须显式地激活。对于Syob娱乐下载mfony 2.4+，你可以在你的app/config中导入它们。Yml的配置文件:

1 2

进口:-｛资源:“% kernel.root_dir % / . . /供ob娱乐下载应商/ symfony / symfony / src / symfony /包/ WebProfilerBundle /资源/ config / commands.xml”｝

对于Syob娱乐下载mfony 2.3，你可以在' app/console '中使用下面的代码片段:

1 2 3 4 5 6 7 8

＄内核＝新AppKernel (＄env，＄调试）;＄应用程序＝新应用程序(＄内核）;如果（＄内核->getContainer ()->有(“分析工具”)) {＄分析器＝＄内核->getContainer ()->get (“分析工具”）;＄应用程序->add (新ImportCommand (＄分析器));＄应用程序->add (新ExportCommand (＄分析器));｝＄应用程序->运行(＄输入）;

在这一点上，我想重申一下应该永远不要在您的生产服务器上启用Syob娱乐下载mfony Web Profiler，因为这是一个开发工具。如果您需要启用它，请再次检查它是否安全。

此问题的补丁可在这里:https://github.com/ob娱乐下载symfony/symfony/pull/11832

学分

我要感谢Damien Cauquil和Andreas Forsblom报道了这个安全问题。