cve - 2017 - 16654: Intl包读者的路径

影响版本

ob娱乐下载Symfony 2.7.0 2.7.37, 2.8.0 2.8.30, 3.2.0 3.2.13, 3.3.0 3.3.12版本的Symfony Intl组件受此影响安全问题。

这个问题已经固定在Symfony 2.7.38, 2.8ob娱乐下载.31, 3.2.14, 3.3.13, -beta5 -beta5 3.4和4.0。

注意,没有修复为Symfony提供了3.0和3.1不再维护。ob娱乐下载

描述

Intl组件包括各种包读者用于从本地文件系统读取资源包。的read ()这些类的方法使用路径和区域来确定语言包来检索。

区域设置参数值通常是来自不受信任的用户输入(如URL参数)。攻击者可以利用这个论点导航到任意目录通过dot-dot-slash攻击。

决议

修复实现一个检查文件名不突破路径作为参数传递read ()方法。

这个问题是可用的补丁在这里。

学分

我要感谢大卫Bohannon报告这一安全问题,基督教弗洛特曼提供修复和Symfony核心团队审查补丁。ob娱乐下载