安全发布:symfony 1.4.2ob娱乐下载0发布
2012年11月25日·发表的
法比安效力
法比安效力
ob娱乐下载Symfony 1.4.20刚刚发布,它包含了一个安全补丁。
Uli Hecht几天前就symfony 1.4的安全问题联系了我们。ob娱乐下载该漏洞允许读取存储在服务器上的任何文件,只要该文件可以被web服务器读取。如果有一个表单包含一个文件上传字段,并且上传的文件存储在一个web可访问的区域(在web根目录下的某个地方),那么你的应用程序是脆弱的。
如果您是脆弱的,我们强烈建议您升级尽快,如果不可能,请申请以下补丁:
12 34 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38
指数:lib / / sfForm.class.php形式===================================================================——lib/form/sfForm.class.php(修订版33597)lib/form/sfForm.class.php(工作副本)@@ -222,6 +222,8 @@$this->taintedFiles = array();}+ $ this - > checkTaintedValues ($ this - > taintedValues);+try {$this->doBind(self::deepArrayUnion($this->taintedValues, self::convertFileInformation($this->taintedFiles)));@@ -1336,4 +1338,24 @@返回array1美元;}++ / * *+ *检查$_POST值是否包含+ *看起来像一个文件上传(来自$_FILE)。+ * /+受保护函数checkTaintedValues($values)+ {+ foreach ($ name => $value)+ {if (!is_array($value)) {+继续;+}+if (isset($value['tmp_name'])) {+抛出新的InvalidArgumentException('不要尝试伪造文件上传');+}++ $ this - > checkTaintedValues(美元值);+}+}}以下是该版本的其他更改:更新日志:
- [33545]修复Oracle的sfPDOSessionStorage(关闭#10022)
- [33544]修复了sfWebRequest::splitHttpAcceptHeader错误的结果顺序(关闭#10069,由Keri Henare补丁)
- [33539]修复了使用PHP 5.4内置服务器时的异常格式(关闭#10067,基于jgskin的补丁)
- [33486]固定sfPDODatabase::call()方法(关闭#10044)
如果你已经从Subversion中签出了标签的副本,你可以切换到最新版本:
1
$svn switch http://svn.ob娱乐下载symfony-project.com/tags/RELEASE_1_4_20如果您正在使用PEAR包,您可以使用PEAR命令进行更新:
1
$梨升级symfony/syob娱乐下载mfony-1.4.20和往常一样,不要忘记在升级后清除缓存。
是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。
管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载
评论
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。
不幸的是,在更新日志中没有找到任何关于这个的信息:-)
你会更新git镜像吗?
在我的一个项目中刚刚更新到1.4.20
我的问题现在更糟了,因为一个生产服务器已经使用了1.4.20一段时间,我的电子邮件队列由混合的。18和。20排队的电子邮件组成,所以这两个代码修订都给致命的发送尝试: