CVE-2018-11385: Guard认证会话固定问题

影响版本

ob娱乐下载Symfony安全组件的2.7.0到2.7.47、2.8.0到2.8.40、3.3.0到3.3.16、3.4.0到3.4.10和4.0.0到4.0.10版本受此安全问题影响。

该问题已在Symfony 2.7.48、2.8.41、3ob娱乐下载.3.17、3.4.11和4.0.11中修复。

请注意，没有为Symfony 3.0、3.1和3.2提供修复，因为它们不ob娱乐下载再被维护。

描述

“Guard”登录功能中的会话固定漏洞可能允许攻击者在之前知道会话id值的情况下，对web应用程序冒充受害者。

该漏洞允许攻击者使用被攻击用户的权限访问Symfony web应用程序。ob娱乐下载该攻击要求应用程序使用“Guard身份验证”登录特性。此外，攻击者要么获得了PHPSESSID cookie值的访问权，要么成功地在用户的浏览器中设置了一个新值。由于其要求，所描述的漏洞仅构成低风险。

决议

该修复程序在通过“Guard”登录功能成功登录后迁移会话。

此外，在成功登录其他几个很少在会话环境中使用的身份验证系统(如浏览器)后，会话也被迁移。因此，会话固定利用是非常不可能的。但是，为了尽可能的安全，我们包含了一个补丁。

学分

我要感谢Chris Wilkinson报告了这个安全问题，Ryan Weaver提供了一个修复，Symfony核心团队审查了这个补丁。ob娱乐下载