安全发布:symfony 1.4.1ob娱乐下载8发布
2012年5月30日·发表的
法比安效力
法比安效力
ob娱乐下载Symfony 1.4.18刚刚发布。仔细阅读这篇文章,因为这个版本修复了一个安全漏洞。
Dmitri Groutso几天前联系了我们关于会话代码中可能存在的安全问题:
“再生()在重新生成会话ID之前,由数据库支持的会话类实现的方法不会从请求内存中持久化当前会话数据,在数据库中保留请求开始时的影子副本(在“注销”情况下仍然经过身份验证)。传递给摧毁美元= true再生减轻攻击,通过显式删除影子副本。
他的补丁已在1.4.18版本中应用。
这是所有的变化更新日志:
- [33466]修复了可能的DB会话固定攻击(来自Dmitri Groutso的补丁)
- [33373]固定测试浏览器点击函数不处理CSS选择器没有[或](关闭#9982,补丁从mouette)
如果你已经从Subversion中签出了标签的副本,你可以切换到最新版本:
$ svn switch http://svn.ob娱乐下载symfony-project.com/tags/RELEASE_1_4_18如果您正在使用PEAR包,您可以使用PEAR命令进行更新:
升级symfony/symfoob娱乐下载ny-1.4.18和往常一样,不要忘记在升级后清除缓存。
是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。
管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载
评论
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。
我已经确认了一个问题,一些会话存储类在注销情况下不会删除旧的会话数据。我认为这个问题会在这个补丁中得到解决。
但是,你的提交信息说“会话固定”。我说的是关于减少会话劫持攻击。
如果这个问题被归类为“session fixed”,我认为记者的说法应该是“the regenerate() method…”持久化当前会话数据…在重新生成会话ID之前”。
我想知道更多的例子,这个漏洞的影响(?),以了解这个问题。
ob娱乐下载symfony - 1.4 / lib /插件/ sfPropelPlugin / lib /供应商/ propel-generator /类/推动/发动机/建筑/ sql / mysql / MysqlDDLBuilder.php
$script .= "Engine=$mysqlTableType";
手动。
有什么想法吗?
我想我可以尝试不同的,但我更希望避免这种情况。干杯!