cve - 2018 - 11406: CSRF牌固定

2018年5月25日·发表的

影响版本

ob娱乐下载Symfony 2.7.0 2.7.47, 2.8.0 2.8.40, 3.3.0 3.3.16, 3.4.0 3.4.10, 4.0.0 4.0.10版本Symfony安全组件受此影响的安全问题。

这个问题已经固定在Symfony 2.7.48, 2.8ob娱乐下载.41, 3.3.17, 3.4.11, 4.0.11。4.1.0也被固定在它的最终版本。

注意,不为Symfony提供了补丁3.0,3.1和3.2不再维护。ob娱乐下载

默认情况下,用户的会话无效当用户注销。这种行为可以通过禁用invalidate_session选择。在这种情况下,CSRF令牌,不抹去注销期间允许CSRF牌固定。

我们固定这个问题通过清除所有CSRF令牌当用户注销。

我要感谢凯文Liagre报告这一安全问题,基督教的弗洛特曼对修复工作,查看补丁的Symfony核心团队。ob娱乐下载

发表在#安全警告

发现Symfony的安全问题?ob娱乐下载将详细信息发送到安全[在]symfony.cob娱乐下载om不公开披露它,直到我们可以提供一个解决。

管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样,贡献代码或文档来帮助欧宝官网下载app是最常见的方式,但我们也有一个广泛的赞助机会。

以确保评论保持相关,他们关闭了旧的帖子。