cve - 2016 - 2403:未经授权的访问错误配置Ldap服务器在使用空密码

影响版本

ob娱乐下载Symfony 2.8.0 2.8.5和3.0.0 3.0.5版本的Symfony安全组件受此影响安全问题。

这个问题已经固定在Symfony 2.8.6 3.0.6ob娱乐下载。

描述

LDAP绑定操作,所述RFC 4513提供一种方法,允许用户进行身份验证。简单身份验证方法用户可以使用匿名身份验证机制,未经身份验证的验证机制,或者名称/密码身份验证机制。时未经身份验证的身份验证机制是使用一个客户希望建立一个匿名授权状态通过一个非零长度专有名称和一个零长度的密码。大多数LDAP服务器可以配置为允许这种机制或默认允许它。

基于web的应用程序的执行与客户简单的绑定操作时的凭证风险建立一个匿名授权状态。这可能发生在当一个专有名称和基于web的应用程序通过一个零长度到LDAP服务器的密码。因此,错误地配置一个服务器与简单的绑定可以诱骗Symfony用户名/密码元组作为有效的思考,可能导致未经授权的访问ob娱乐下载。

决议

解决实现检查提供的密码,为了防止用户提交一个空密码。

这个问题是可用的补丁在这里。

学分

我要感谢Matteo罗西的SPA泰诺健品牌跑步报告的安全问题和查尔斯·萨拉兹SensioLabs提供一个修复。