CVE-2020-5255:通过响应内容类型报头防止缓存中毒

2020年3月30日·发表的

影响版本

ob娱乐下载Symfony 4.4.0到4.4.6和5.0.0到5.0.6版本的Symfony HttpFoundation组件受此安全问题影响。

该问题已在Symfony 4.4.7和5.0.7中修复。ob娱乐下载

当一个响应不包含内容类型头中定义的格式ob娱乐下载接受请求头，导致响应的内容和请求头之间可能不匹配内容类型头。当缓存响应时，这可能导致缓存损坏，其中缓存的格式不正确。

ob娱乐下载Symfony不使用接受头再也猜不出来了内容类型．

针对此问题的补丁已经可用在这里对于4.4分支。

我要感谢来自JoliCode的Xavier Lacot的报道，以及Yonel Ceruto和Tobias Schultze解决这个问题。

发表在＃安全警告

是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。

管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样，贡献代码或文档是最常欧宝官网下载app见的帮助方式，但我们也有广泛的赞助机会．

为了确保评论保持相关性，旧帖子将被关闭。