CVE-2018-14773:删除对遗留和危险的HTTP报头的支持

影响版本

ob娱乐下载Symfony 2.7.0到2.7.48、2.8.0到2.8.43、3.3.0到3.3.17、3.4.0到3.4.13、4.0.0到4.0.13和4.1.0到4.1.2版本的HttpFoundation组件受此安全问题影响。

该问题已在Symfony 2.7.49、2.8.44、3ob娱乐下载.3.18、3.4.14、4.0.14和4.1.3中修复。

注意，没有为Symfony 3.0、3.1和3.2提供修复，因为它们不再ob娱乐下载被维护。

描述

支持(遗留的)IIS标头，允许用户通过X-Original-URL或X-Rewrite-URLHTTP请求头允许用户访问一个URL，但让Symfony返回一个不同的URL，可以绕过对更高级别的缓存和web服务器的限制ob娱乐下载。

修复删除了对这两个过时的IIS头文件的支持:X-Original-URL而且X_REWRITE_URL．

决议

对违规标题的支持已被移除。

针对此问题的补丁已经可用在这里对于分支2.8。

学分

我要感谢James Kettle向Drupal安全团队报告了这个问题，感谢Drupal安全团队向Symfony报告了这个问题，感谢Nicolas Grekas修复了这个问题。ob娱乐下载