请求类中的不安全方法

2015年4月1日·发表的

影响版本

2.0所有。2.1 X。2.2 X。2.3 X。2.4 X。2.5 X。X和2.6。Symfony HttpFoundaob娱乐下载tion组件的X版本受此安全问题影响。

此问题已在Symfony 2.3.27、2.5.11和2.ob娱乐下载6.6中修复。注意，没有为Symfony 2.0、2.1、2.2和2.4提供修复，因为ob娱乐下载它们不再被维护。

的ob娱乐下载Symfony \ HttpFoundation \ \组件请求类提供了一种机制，确保它不信任来自“不受信任”客户端的HTTP头值。不幸的是，如果请求中至少涉及一个可信代理，则它假定远程地址始终是可信客户端;这允许在最新可信代理和web服务器之间进行中间人攻击。

影响以下方法:getPort ()，isSecure (),getHost (),getClientIps ()．

所有受影响的方法现在都检查远程地址是否受信任，从而修复了该问题。

针对此问题的补丁已经可用在这里．

我要感谢Dmitrii Chekaliuk报告这个安全问题和James Gilliland提供修复。

发表在＃安全警告

是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。

管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样，贡献代码或文档是最常欧宝官网下载app见的帮助方式，但我们也有广泛的赞助机会．

弗拉基米尔•Khramtsov 2015年4月2日说在47

# 1

我已经更新到symfony 2.ob娱乐下载5.11，但仍然收到关于此漏洞的消息

弗拉基米尔•Khramtsov 2015年4月2日说在12:52

＃2

抱歉关于不完整的帖子，但我正在使用sensiolabs-security-checker

格雷戈勒Pineau

">认证 2015年4月2日说在15:41

# 3

@Uladzimir Khramtsou:应该没事了。

德米特里•Khomutov 2015年4月5日说在04:20

# 4

我已经更新到symfony ~2ob娱乐下载.6.6 (Composer安装2.6-dev)，但仍然得到关于这个CVE的消息

为了确保评论保持相关性，旧帖子将被关闭。