安全版本(cve - 2013 - 5958): Symfony 2.ob娱乐下载0.25, 2.1.13, 2.2.9, 2.3.6释放
法比安效力
ob娱乐下载Symfony 2.0.25, 2.1.13、2.2.9和2.3.6刚刚被释放;它们包含一个安全修复安全组件(cve - 2013 - 5958)。
请注意
即使生命的终结Symfony 2.0上个月达成,我们也ob娱乐下载发布一个新版本为2.0。ob娱乐下载Symfony 2.1也是维护,但我们仍发布新版本的安全补丁到2013年11月底。阅读我们的发布的政策为更多的信息。
几个星期前,我发表了一篇关于一个脆弱性FOSUserBundle。除了修复包,我还添加了一个额外的保护主分支的编码器(即将到来的2.4版本)。
但是,注意到克利斯朵夫Coevoet从主分支,修复也应该在年长的分支合并登录表单处理是通过框架本身,而不是用户代码。
影响版本
2.0所有。2.1 X。2.2 X。X,和2.3。X版本的安全组件受到这个问题的影响。
描述
密码的最佳实践之一是存储一个哈希密码而不是原始值。在Syob娱乐下载mfony,编码器负责创建散列(当用户创建一个帐户)和验证(当一个用户试图登录)。
内置编码器,大部分时间是需要计算可以大大提高哈希密码的长度。如果攻击者提交随机大反复的密码,Symfony将被迫做昂贵的计算,可用于缓解DOS攻击。ob娱乐下载
所有编码器不脆弱,但是推荐的。需要的信息,这是次编码100万个字符的密码(一行*表示内置编码器默认配置):
| 编码器 | encodePassword () |
|---|---|
| BCrypt(成本< 14) | < 1 |
| BCrypt成本(18) | 20年代 |
| BCrypt 20(成本) | 78年代 |
| Pbkdf2 * (1000) | 6 s |
| 明文* | < 1 |
| MessageDigest * (5000) | 30年代 |
| Pbkdf2 (10000) | 55岁的年代 |
如您所见,Pbkdf2的编码器,需要几乎一分钟当迭代次数设置为‘10000’的数量(这是迭代中使用iOS 7。)
决议
密码长度为一个用户帐户必须有最大长度减少。当用户输入或修改密码在你的网站上,检查你有设置一个最大长度限制。如果您使用的是FOSUserBundle,修复是几个星期前完成的。
当用户试图登录你的网站,是由逻辑框架本身,同时,它还必须限制密码的最大长度编码之前它接受它。补丁我们在今天的版本包括拒绝比任何密码4096年字符。这两个encodePassword ()和isPasswordValid ()内置编码器的方法执行这个极限。
如果你使用一个定制的编码器,您需要检查密码的长度美元$ this - > isPasswordTooLong(生);方法自己(看看内置编码器实现)。
你需要升级Symfony的最新版本,根据ob娱乐下载分支您使用的是为您的项目,或者您可以应用以下补丁:
提示
对重要的Symfony日期通知,考虑订阅ob娱乐下载路线图的通知。
提示
你可以检查你的项目是否使用了最新的安全补丁检查SensioLabs安全报告。
发现Symfony的安全问题?ob娱乐下载将详细信息发送到安全[在]symfony.cob娱乐下载om不公开披露它,直到我们可以提供一个解决。
评论
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。
你也应该将它添加在适当的部分的文档。欧宝官网下载app