安全发布:Symfony 2.0.2ob娱乐下载2和2.1.7发布
法比安效力
ob娱乐下载Symfony 2.0.22和Symfony 2.1.7刚刚发布,它们都包含针对YAML组件(CVE-2013-1348和CVE-2013-1397)的安全修复。
CVE-2013-1348:在Yaml::parse()中启用/禁用PHP解析的能力
影响版本
2.0所有。YAML组件的X版本受此问题影响。
描述
在解析输入时Yaml: parse (),如果输入是有效的文件名,则在解析为YAML之前,将输入作为PHP文件进行计算。如果输入来自不受信任的来源,则可能会执行恶意代码。
ob娱乐下载Symfony应用程序不容易受到这种攻击,但如果您正在使用应用程序中的YAML组件解析YAML,请检查代码是否将不受信任的输入传递给Yaml: parse ().请注意,Yaml \解析器:parse ()不受影响。
决议
在Syob娱乐下载mfony 2.1中,即使输入是一个文件,在调用时默认情况下也不会将其计算为PHPYaml: parse ();的方法来启用PHP计算支持Yaml: enablePhpParsing ()函数。
2.1的行为已经被反向移植到Symfony 2.0。ob娱乐下载我们还增加了一个setPhpParsing ()方法,使您可以轻松地从一种模式切换到另一种模式:
1 2 3 4 5
使用ob娱乐下载\组件\Yaml\Yaml;Yaml::setPhpParsing (真正的);Yaml::解析($文件名);Yaml::setPhpParsing (假);注意,计算PHP文件的能力Yaml: parse ()已弃用,将在2.3中移除;将文件名传递给的能力Yaml: parse ()已弃用,将在3.0中删除。
CVE-2013-1397:能够启用/禁用YAML解析和转储中的对象支持
影响版本
YAML组件的所有版本(2.0。2.1 X。X和2.2.X)都受到此问题的影响。
描述
Symfob娱乐下载ony YAML组件支持PHP对象解析和转储(通过!!php /对象:XXX符号)。
在解析包含序列化PHP对象的不受信任输入时,默认情况下它将是非序列化的,这可能导致恶意代码被执行。
ob娱乐下载Symfony应用程序不容易受到这种攻击,但如果您在应用程序中解析YAML,请检查您的代码是否将不受信任的输入传递给Yaml: parse ()或Yaml \解析器:parse ().
决议
默认情况下,YAML组件不再解析或转储PHP对象;它用a代替它们零而不是价值。
YAML解析和转储方法中增加了两个新参数;它们允许你控制YAML引擎关于对象支持的行为:
12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
//当处理无效类型(PHP资源或PHP对象)时是否抛出异常//当设置为false(默认值)时,无效的类型值将被替换为空值//当设置为true时,抛出异常$exceptionOnInvalidType=假;//是否启用对象支持(默认为禁用)//当未启用时,如果$exceptionOob娱乐下载nInvalidType为真,Symfony将抛出异常,否则返回null。$objectSupport=假;使用ob娱乐下载\组件\Yaml\Yaml;Yaml::解析($输入,$exceptionOnInvalidType,$objectSupport);Yaml::转储($yaml,2,4,$exceptionOnInvalidType,$objectSupport);使用ob娱乐下载\组件\Yaml\解析器;$解析器=新解析器();$解析器->解析($输入,$exceptionOnInvalidType,$objectSupport);使用ob娱乐下载\组件\Yaml\自动倾卸车;$自动倾卸车=新翻车机();$自动倾卸车->转储($输入,2,0,$exceptionOnInvalidType,$objectSupport);评论
下面这行,和之前的版本一样,
{%扩展"linceoBlogBundle::layout.html。树枝“%}
现在导致一个错误:
在“linceoBlogBundle:Blog:modifier.html.twig”中渲染模板(“Unrecognized field: 0”)时抛出了一个异常
是不是跟新版本有关?
蒂雅
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。
Sebastiaan Stok is a certified Symfony engineer.
Get certified! Online exams available in all countries.
Register Now这难道不是真的吗?