cve - 2019 - 10911:记得我饼干散列添加一个分隔符

影响版本

ob娱乐下载Symfony 2.7.0 2.7.50, 2.8.0 2.8.49, 3.4.0 3.4.25, 4.1.0 4.1.11和4.2.0 4.2.6版本的Symfony安全组件受此影响安全问题。

这个问题已经固定在Symfony 2.7.51, 2.8ob娱乐下载.50, 3.4.26, 4.1.12和4.2.7。

注意,不为Symfony提供了补丁3.0,3.1,3.2,3.3,和4.ob娱乐下载0不再维护。

描述

这个补丁的情况下失效时间的一部分,在一个cookie可以考虑用户名的一部分,或者用户名的一部分可以被视为失效时间的一部分。攻击者可以修改记得我饼干和作为一个不同的用户进行身份验证。这种攻击只可能如果记得我功能被启用,并且两个用户共享一个密码散列或密码散列(例如用户界面:getPassword())是零为所有用户(这是有效的,如果密码由外部系统检查,如一个SSO)。

决议

我们现在分离各种组件(用户名、到期密码)冒号的饼干的散列。

这个问题是可用的补丁在这里3.4分支。

学分

我要感谢乔恩洞穴的报告和帕斯卡Borreli &迈克尔·拉姆修复这个问题。