CVE-2019-18887:在UriSigner中使用常数时间比较

影响版本

ob娱乐下载Symfony 2.8.0到2.8.51、3.4.0到3.4.34、4.2.0到4.2.11和4.3.0到4.3.7版本的Symfony HttpKernel组件受此安全问题影响。

该问题已在Symfony 2.8.52, 3.4.35,ob娱乐下载 4.2.12和4.3.8中修复。

请注意，没有为Symfony 3.0、3.1、3.2、3.3、4.0和4ob娱乐下载.1提供修复，因为它们不再被维护。

这将是Symfony 2.8进入EOL后的最ob娱乐下载后一个安全补丁;请升级到Symfony的最新版本以继续接收更新。ob娱乐下载

描述

在检查URI的签名(例如ESI片段URL)时，URISigner没有使用常量时间字符串比较函数，导致存在潜在的远程定时攻击漏洞。

决议

我们现在使用PHP的内置hash_equals ()函数比较字符串。

针对此问题的补丁已经可用在这里对于4.2分支。

学分

我要感谢Felix Sokoliuk的报道和Christophe Coevoet解决这个问题。