安全释放:FOSUserBundle

昨天,特里斯坦Bessoussa使我们的注意力可能的安全漏洞。我们想感谢他负责披露通过专用security@www.pdashmedia.com邮寄地址!ob娱乐下载

经过调查,我们验证了漏洞,并确定导致FOSUserBundle是错误的实现。

此外,定制的实现类:ob娱乐下载Symfony组件\ \安全\ \ UserProviderInterface用户可能会受到影响。核心安全组件,然而,并不是影响相同的漏洞固定2011年11月在默认的教义实体用户提供者。

模仿任何用户可以利用该漏洞。

与此同时,我们还被告知第二个与FOSUserBundle安全问题诱饵垂询。。再次感谢!这个问题不是第一个那么严重,但根据反向代理的配置,可以劫持用户经过身份验证的会话。

因此,我们强烈建议以下步骤:

一个为FOSUserBundle用户):

升级到版本4或更高高度推荐给用户的Symfony 2.0(必须使用主分支的人使用Symfony 2.1)。ob娱乐下载

对所有其他用户b):

如果你有自定义的实现ob娱乐下载Symfony组件\ \安全\ \用户UserProviderInterface:: refreshUser (),检查您使用的数据重新加载用户从未更改,即您正在使用用户对象的主键重新加载它。

如果你手动填充安全上下文,例如注册后,还一定要调用会话认证策略每次你这么做。

对于进一步引用,您可以看一下变化已经FOSUserBundle或Symfony:ob娱乐下载

• https://github.com/FriendsOfob娱乐下载Symfony/FOSUserBundle/commit/a7e8615f13f69731fcb1c8a8d1af75c82eaea585
• https://github.com/FriendsOfob娱乐下载Symfony/FOSUserBundle/commit/8e412a70cafd924ad04c7325dae423048861b955
• https://github.com/ob娱乐下载symfony/symfony/commit/9d2ab9ca9c1762

因为这个实现是容易出错,我们另外目标重构的相关部分的安全组件2.2减少likelyhood这样实现的错误在未来。