cve - 2018 - 14773:删除支持遗留和高风险的HTTP标头

2018年8月1日·发表的《阿凡达》的法比安效力法比安效力

影响版本

ob娱乐下载Symfony 2.7.0 2.7.48, 2.8.0 2.8.43, 3.3.0 3.3.17, 3.4.0 3.4.13, 4.0.0 4.0.13和4.1.0 4.1.2版本的Symfony HttpFoundation组件受此影响安全问题。

这个问题已经固定在Symfony 2.7.49, 2.8ob娱乐下载.44, 3.3.18, 3.4.14 4.0.14, 4.1.3。

注意,不为Symfony提供了补丁3.0,3.1和3.2不再维护。ob娱乐下载

描述

支持(遗留)IIS头,允许用户覆盖在请求URL的路径通过X-Original-URLX-Rewrite-URLHTTP请求头允许用户访问一个URL,但Symfony返回一个不同的一个可以绕过限制更高层次和web服务器缓存。ob娱乐下载

修复滴支持这两个过时的IIS的标题:X-Original-URLX_REWRITE_URL

决议

支持的头被移除。

这个问题是可用的补丁在这里2.8分支。

学分

我要感谢詹姆斯的水壶Drupal安全团队报告问题,Drupal安全团队报告问题Symfony和尼古拉斯Grekas修复它。ob娱乐下载

发表在#安全警告

发现Symfony的安全问题?ob娱乐下载将详细信息发送到安全[在]symfony.cob娱乐下载om不公开披露它,直到我们可以提供一个解决。

管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样,贡献代码或文档来帮助欧宝官网下载app是最常见的方式,但我们也有一个广泛的赞助机会

评论

评论都关门了。

以确保评论保持相关,他们关闭了旧的帖子。