安全释放:Symfony 2.0.6ob娱乐下载
法比安效力
ob娱乐下载Symfony 2.0.6刚刚发布。地址中的一个安全漏洞EntityUserProvider原则规定桥。
如果你让你的用户更新他们的登录/表单的用户名,如果您正在使用原则作为用户提供者,那么你是脆弱的,你应该尽快升级。
这个问题是用户可以切换到另一个。这里是如何繁殖:当前用户改变其现有用户名用户名通过一种形式到另一个。当提交表单时,他将有一个验证错误(如用户名已经存在),但用户对象在会话中仍将修改为新的用户名。这个用户的会话将被用于下一个请求的用户将切换到其他用户。
修复是通过主键刷新用户(通过一种形式不能更新),而不是用户名。
如果你不能立即升级,请以下申请补丁:https://github.com/sob娱乐下载ymfony/symfony/commit/9d2ab9ca9c1762
的更新日志还有其他所有的细节变化,你可以看一看满了吗diff。
如果你开始一个新项目,你可以得到Symfony标准版的分布ob娱乐下载obb体育 页面。
如果你已经有一个项目基于Symfony标准版2.0。ob娱乐下载x,你可以很容易地升级到2.0.6通过deps和deps.lock文件。
然后,运行供应商脚本:
美元/ bin /供应商安装别忘了清理缓存:
php。美元/ app /控制台缓存:清楚记住Symfony2组件也可以作为独ob娱乐下载立的库。你可以让他们通过专门的只读存储库在Github (https://github.com/ob娱乐下载symfony/Finder例如),通过安装它们梨(pear安装symfonyob娱乐下载2 /仪),甚至通过安装它们作曲家。
正如我们声明在过去,请报告与安全相关的安全问题在前台[点]com而不是直接发布到Github。ob娱乐下载这将给核心团队有机会审查和词下车之前解决这个问题。
评论
如果您使用的是FOSUserBundle,你会没有问题,因为用户总是刷新。
致命:模棱两可的论点“v2.0.6”:未知的修订或路径不是在工作树。
使用“-”分隔路径修正
如果我删除供应商/ symfony目录得到以下错ob娱乐下载误信息:
克隆在D: \ data \根\ smartcamp \ Symfony /ob娱乐下载供应商/ Symfony……
警告:远程头指的是不存在的裁判,无法付款。
致命:模棱两可的论点“v2.0.6”:未知的修订或路径不是在工作树。
使用“-”分隔路径修正
致命:坏违约修正“头”
知道怎么解决这个问题吗?
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。
我有问题,刷新记录用户通过用户的安全上下文。似乎的实体美元方法getIdentifierValues教义/ ClassMetaData / Orm映射。php应该“id”值(从令牌?)或者应该在$ this - >更多的元素标识符?,$ this - > isIdentifierComposite是错误的。
怎么了?
抱歉我的英语不好。
Jeremy Mikola is a certified Symfony engineer.
Get certified! Online exams available in all countries.
Register Now