CVE-2018-11406: CSRF Token固定
2018年5月25日·发表的
法比安效力
法比安效力
影响版本
ob娱乐下载Symfony安全组件的2.7.0到2.7.47、2.8.0到2.8.40、3.3.0到3.3.16、3.4.0到3.4.10和4.0.0到4.0.10版本受此安全问题影响。
该问题已在Symfony 2.7.48、2.8.41、3ob娱乐下载.3.17、3.4.11和4.0.11中修复。4.1.0在最终发布之前也进行了修复。
注意,没有为Symfony 3.0、3.1和3.2提供修复,因为它们不再ob娱乐下载被维护。
描述
缺省情况下,用户注销时会话失效。方法可以禁用此行为invalidate_session选择。在这种情况下,注销期间不会擦除CSRF令牌,这允许CSRF令牌固定。
决议
我们通过在用户注销时清除所有CSRF令牌来解决此问题。
学分
我要感谢Kévin Liagre报告这个安全问题,Christian Flothmann致力于修复,Symfony核心团队审查补丁。ob娱乐下载
发表在#安全警告
是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。
管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载
评论
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。