CVE-2015-8125:安全记住我服务中潜在的远程定时攻击漏洞

影响版本

ob娱乐下载Symfony 2.3.0到2.3.34、2.6.0 - 2.6.11、2.7.0 - 2.7.6版本的Security组件受此安全问题影响。

此问题已在Symfony 2.3.35、2.6.12和2.ob娱乐下载7.7中修复。注意，没有为Symfony 2.4和2.5提供修复，因为它们不再被维护。ob娱乐下载ob娱乐下载Symfony 2.8和3.0还没有发布，修复将包含在它们的第一个稳定版本中。

描述

中发现了一个潜在的远程定时攻击漏洞ob娱乐下载\组件\安全\ Http\ RememberMe\ PersistentTokenBasedRememberMeServices类从Symfony安全组件。ob娱乐下载在进行修复时，我们还发现在ob娱乐下载\组件\安全\ Http\防火墙\ DigestAuthenticationListener从Symfony Securiob娱乐下载ty组件和从Symfony Form组件(ob娱乐下载\组件\形式\扩展\ Csrf\ CsrfProvider\ DefaultCsrfProvider）.

决议

修复使用PHP内置hash_equals ()函数，或者返回到内置的Symfonyob娱乐下载stringutil: equals ()方法。我们也强烈建议您添加ob娱乐下载symfony / polyfill-php56作为项目的需求，因为它提供了一个用户域实现hash_equals ()．

针对此问题的补丁已经可用在这里．

学分

我要感谢Sebastiaan Stok报告了这个安全问题，并感谢Christian Flothmann编写了修复程序。