Sensio赞助实验室
菜单

CVE-2016-1902:当OpenSSL失败时,securerrandom的回退不安全

2016年1月18日·发表的Fabien Potencier的化身法比安效力

影响版本

ob娱乐下载Symfony 2.3.0到2.3.36、2.6.0到2.6.12、2.7.0到2.7.8版本的Security组件在与PHP 5一起使用时受到此安全问题的影响。X不带paragonie / random_compat在Composer依赖项中列出的库。使用PHP 7的项目不受影响。

此问题已在Symfony 2.3.37、2.6.13和2.ob娱乐下载7.9中修复。注意,没有为Symfony 2.4和2.5提供修复,因为它们不再被维护。ob娱乐下载ob娱乐下载Symfony 2.8和3.0不受影响。

描述

SecureRandomob娱乐下载Symfony类的目标是生成安全的随机数。根据PHP的配置,可以使用几种策略。在PHP安装中random_bytes ()功能不可用,Symfony退回使用ob娱乐下载openssl_random_pseudo_bytes ().如果这不起作用,Symfony将使用ob娱乐下载函数()而且mt_rand (),不适合加密上下文。

决议

方法的修复包括删除所有自定义代码,以便使用paragonie / random_compat在Symfony 2.8和3.0中已经完成了。ob娱乐下载

针对此问题的补丁已经可用在这里

学分

我要感谢兰德·勃兰特报告这个安全问题。感谢Christian Flothmann为各种Symfony版本编写了修复程序。ob娱乐下载

发表在安全警告

是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。

管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样,贡献代码或文档是最常欧宝官网下载app见的帮助方式,但我们也有广泛的赞助机会

评论

评论截止。

为了确保评论保持相关性,旧帖子将被关闭。