CVE-2021-21424:防止认证机制中的用户枚举

影响版本

ob娱乐下载Symfony >=2.8.0， <3.4.49 | >= 5.0.0， <5.2.9 Symfony Security、Security Guard、Security Core和Security HTTP组件的版本受此安全问题影响。

该问题已在Symfony 3.4.49、4.4.24、5ob娱乐下载.2.9和5.3.0 RC1中修复。所有其他受影响的小版本的Symfony将不会被修补，因为他们不再维护。ob娱乐下载

描述

由于不同的异常消息(取决于用户是否存在)，可以在没有相关权限的情况下枚举用户。还可以通过使用定时攻击，通过比较验证现有用户和验证不存在用户时所花费的时间来枚举用户。

现在，如果密码无效或用户不存在，则无论用户是否存在，都将返回403。

针对此问题的补丁已经可用在这里而且在这里也对于分支3.4。

学分

我要感谢James Isaac, Mathias Brodala和Laurent Minguet报道了这个问题，并感谢Robin Chalas解决了这个问题。