CVE-2018-14774:使用httpache时可能的主机头注入

2018年8月1日·发表的

影响版本

ob娱乐下载Symfony 2.7.0到2.7.48、2.8.0到2.8.43、3.3.0到3.3.17、3.4.0到3.4.13、4.0.0到4.0.13和4.1.0到4.1.2版本的Symfony HttpKernel组件受此安全问题影响。

该问题已在Symfony 2.7.49、2.8.44、3ob娱乐下载.3.18、3.4.14、4.0.14和4.1.3中修复。

注意，没有为Symfony 3.0、3.1和3.2提供修复，因为它们不再ob娱乐下载被维护。

当使用HttpCache的值X-Forwarded-Host头被隐式地错误地设置为受信任，导致潜在的主机头注入。

在执行内部子请求时删除可信头，并且远程客户端不受信任。

针对此问题的补丁已经可用在这里对于分支2.8。

我要感谢@chaosversum报告这个问题，并感谢Nicolas Grekas修复它。

发表在＃安全警告

是否发现Symfony存在安全问题?ob娱乐下载请将详情发送至www.pdashmedia.com的安全ob娱乐下载在我们找到解决方案之前不要公开。

管理通知首选项在Symfony安全版本发布后立即收到一封电子邮件。ob娱乐下载

帮助Symfonyob娱乐下载项目!

与任何开源项目一样，贡献代码或文档是最常欧宝官网下载app见的帮助方式，但我们也有广泛的赞助机会．

为了确保评论保持相关性，旧帖子将被关闭。