影响版本

2.0所有。2.1 X。2.2 X。X和2.3。Validator组件的X版本受此问题影响。

描述

在使用Validator组件时，如果ob娱乐下载＼\组件＼\验证器＼\映射＼\缓存＼\ ApcCache启用(或任何其他缓存实现?ob娱乐下载＼\组件＼\验证器＼\映射＼\缓存＼\ CacheInterface)时，在序列化过程中会丢失一些信息collectionCascaded和collectionCascadedDeeply字段)。

属性存储在字段中的数组或可遍历对象@Valid约束是不一旦从缓存加载验证器配置，就由验证器遍历。

决议

该补丁通过向序列化机制中添加缺失的字段来解决此问题。

您需要根据您的项目使用的分支将Symfoob娱乐下载ny升级到最新版本，或者您可以应用以下补丁:

• 下载Symfony 2.0的补丁ob娱乐下载；
• 下载Symfony 2.1的补丁ob娱乐下载；
• 下载Symfony 2.2的补丁ob娱乐下载；
• 下载Symfony 2.3的补丁ob娱乐下载；

学分

我要感谢亚历山大·莎乐美报告此安全问题并提供补丁，以及Bernhard Schussek用于查看补丁。

影响版本

2.0所有。2.1 X。2.2 X。X和2.3。HttpFoundation组件的X个版本受此问题影响。

描述

随着$ _SERVER['主机')内容是来自用户的输入，它可以被操纵，但不可信。在最近几个月里，发现了许多不同的攻击，依赖于处理之间的不一致性宿主头部由各种软件(web服务器，反向代理，web框架，…)基本上，每当框架生成一个绝对URL时(例如，当发送电子邮件重置密码时)，主机可能已经被攻击者操纵了。根据你的网络服务器的配置，Symfonyob娱乐下载要求::getHost ()方法可能容易受到其中一些攻击。

由于这些攻击依赖于web服务器配置，你是否使用反向代理，以及许多其他因素，我建议你阅读更多关于这个影响所有语言框架的问题，在伟大而详细的博客文章中，实用的HTTP主机头攻击．这篇文章还包含了很多关于如何以更安全的方式配置web服务器的技巧。

决议

在过去，我们对要求::getHost ()方法来减轻这些问题(请参见6209年公关)，限制主机中允许的字符，但在这种情况下，配置一组可信主机是确保网站安全的唯一方法。对于web框架来说尤其如此，因为我们无法为用户正在使用的web服务器和反向代理指定特定的配置。

今天发布ob娱乐下载的Symfony版本引入了一种方法，可以显式地将应用程序可以响应的主机列入白名单。您可以配置白名单在您的前控制器通过新的要求::setTrustedHosts ()方法:

1 2

//声明一个可信主机模式列表。请求：：setTrustedHosts (数组（“美元”。* \。trusted.com));

或者你也可以在你的框架配置中通过newtrusted_hosts选择:

1 2

框架:trusted_hosts:* \['。? trusted.com $)

就像这个白名单一样可选这取决于你检查你的web服务器配置，以确保你不容易受到攻击，或者更好的选择是配置一个受信任的主机列表。

您需要根据您的项目使用的分支将Symfoob娱乐下载ny升级到最新版本，或者您可以应用以下补丁:

• Symfony 2.ob娱乐下载0补丁；
• Symfony 2.ob娱乐下载1补丁；
• Symfony 2.ob娱乐下载2的补丁；
• Symfony 2.ob娱乐下载3的补丁；

由于补丁引入了一个新的参数，您需要删除缓存手动后升级。

学分

我要感谢约旦Alliot报告此安全问题和让西蒙用于补丁工作。