安全发布:Symfony 2.0.1ob娱乐下载7发布
警告:不ob娱乐下载再支持Symfony 2.0。考虑将应用程序升级到最新的Symfony版本ob娱乐下载.
ob娱乐下载Symfony 2.0.17刚刚发布。
此版本包含几个与XML处理方式相关的安全修复,因此,我们建议每个人都升级。这些问题已经由Zend框架团队的Pádraic Brady报告;我要感谢他提出了非常详细的报告以及他在报告中提到的可能的解决办法。
以下是他解释漏洞的报告摘录:
“ob娱乐下载Symfony 2.0.11进行了[类似的]XXE安全修复,然而,在审查ZF2时,我还注意到XML实体扩展(XEE)攻击的漏洞,即所有使用libxml2的扩展都无法防御XEE二次放大攻击。该漏洞是由于目前没有禁用PHP中自定义实体的方法(即在XML文档内部定义而不使用外部实体)。在QBA中,可以定义一个长实体,然后在文档元素中多次引用它,从而创建一个内存接收器,可以使用该内存接收器挂载针对主机RAM的拒绝服务攻击。的使用LIBXML_NOENT
或依赖扩展中的等效选项放大了影响(它实际上并不意味着“没有实体”)。此外,libxml2对相关的Exponential或Billion Laugh的XEE攻击的固有防御只有在LIBXML_PARSEHUGE
未设置(它禁用了libxml2的硬编码实体递归限制)。没有注意到这两个选项的实例,但是值得将来参考。
考虑以下(非致命的)例子:
<?xml version = " 1.0 " ?> < !DOCTYPE数据[ ><数据>和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,和,数据> < /
将实体的长度和实体计数增加到几百,峰值内存使用将不会浪费时间在nodeValue的时刻访问,因为实体随后将通过简单的乘数效应进行扩展。不需要外部实体。
...
这可以与通常的呼叫XXE防御结合使用libxml_disable_entity_loader(真正的)
还有,可选的LIBXML_NONET
选项(允许本地文件系统访问)。的文档类型
可能会被删除,而不是直接拒绝XML,但这可能会导致未解决实体的其他问题。”
如果您无法升级到最新的Symfony版本,也可以应用此功能ob娱乐下载补丁.
完整的更新日志其他改动的细节都有了吗,你甚至可以看一看完整版diff.
如果您正在开始一个新项目,您可以在ob娱乐下载obb体育 页面。
如果您已经有一个基于Symfony标准版2.0的项目。ob娱乐下载X,您可以轻松地升级到2.0.17deps而且deps.lock文件。
然后,运行vendor脚本(它也会清空你的缓存):
$ ./bin/vendor install
请记住,Symfony2组件也可以作ob娱乐下载为独立的库使用。你可以通过Github上的专用只读存储库(例如https://github.com/symfony/Finder)获取它们,也可以通过ob娱乐下载作曲家.
是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。
评论
>安装/更新symfonyob娱乐下载
访问http://github.com/symfony/symfony.git/info/refs时,所请求的URL返回错误:403ob娱乐下载
fatal: HTTP请求失败
Twig和其他依赖项正确更新
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。
Ricard Clau is a certified Symfony engineer.
Get certified! Online exams available in all countries.
Register Now在deps文件中有版本=1.0.2,而在composer中。SF 2.0.17的json有1.2.0。