CVE-2018-11407:使用空密码时对错误配置的LDAP服务器进行未经授权的访问

影响版本

ob娱乐下载Symfony LDAP组件的2.8.0到2.8.36、3.3.0到3.3.16、3.4.0到3.4.6和4.0.0到4.0.6版本受此安全问题影响。

该问题已在Symfony 2.8.37、3.3.17、3ob娱乐下载.4.7和4.0.7中修复。4.1.0在最终发布之前也进行了修复。

注意，没有为Symfony 3.0、3.1和3.2提供修复，因为它们不再ob娱乐下载被维护。

描述

这是一个延续cve - 2016 - 2403，我们错过了检查a零密码。

决议

修复是作为常规的拉请求提交的(在审查和合并拉请求时，我们没有意识到这是一个安全问题)。

该补丁不是任何3.3版本的一部分，而是今天发布的3.3.17版本的一部分。

学分

我要感谢Théo Bougé来自Scalian的报告问题和Smaine Milianni的修复。