cve - 2018 - 11386:使用PDOSessionHandler时拒绝服务

影响版本

ob娱乐下载Symfony 2.7.0 2.7.47, 2.8.0 2.8.40, 3.3.0 3.3.16, 3.4.0 3.4.10, 4.0.0 4.0.10版本的Symfony http-foundation组件受此影响安全问题。

这个问题已经固定在Symfony 2.7.48, 2.8ob娱乐下载.41, 3.3.17, 3.4.11, 4.0.11。4.1.0也被固定在它的最终版本。

注意,不为Symfony提供了补丁3.0,3.1和3.2不再维护。ob娱乐下载

描述

的PDOSessionHandler在PDO类允许存储会话连接。在某些配置(见下文)和精心制作的有效载荷,可以做一个拒绝服务Symfony应用程序没有太多资源。ob娱乐下载

时脆弱的应用程序:

• 它是使用PDOSessionHandler存储会话;

• 它使用MySQL作为后端会话管理PDOSessionHandler;

• 和SQL模式不包含STRICT_ALL_TABLES或STRICT_TRANS_TABLES(检查通过选择@@sql_mode)。

当应用程序有这个配置,做一个拒绝服务变得更加容易的精心制作的会话会导致无限循环代码。

决议

我们固定这个问题通过避免inifinite循环。

学分

我要感谢费德里科•斯坦格报告这个安全问题和与我们合作试图找出这个问题发生时,尼古拉斯Grekas修复工作,查看补丁的Symfony核心团队。ob娱乐下载