cve - 2015 - 4050: ESI未经授权的访问

影响版本

2.5.4 2.3.19——2.3.28 2.4.9——2.4.10——2.5.11 2.6.0 - 2.6.7版本的Symfony HttpKernel组件ob娱乐下载受此影响安全问题。

这个问题已经固定在Symfony 2.3.29, 2.5.ob娱乐下载12, 2.6.8。注意,不为Symfony提供了补丁2.4,因为它不再是维护。ob娱乐下载ob娱乐下载Symfony 2.7尚未发布和修正将包括在第一个稳定版本。

描述

应用程序启用ESI或SSI支持后,使用FragmentListener容易受到未经授权的访问。恶意用户可以通过调用任何控制器/ _fragment路径提供了一个无效的URL中的散列(或删除),绕过URL签名和安全规则。

FragmentListener抛出一个AccessDeniedHttpException如果URL是不正确签署。然而,ExceptionListener再次通过sub-request触发内核事件。自FragmentListener没有签约一些子请求,调用控制器即使原始请求被禁止。由于用户收到一个403响应与内容生成的控制器。

决议

修正实现的检查FragmentListener这不是叫以防_controller以前设置的属性。

这个问题是可用的补丁在这里。

学分

我要感谢Jakub沙拉斯报告和提供了一个解决这个安全问题。Jakub还写了安全咨询。