报告安全问题

如果您认为在Symfony中发现了安全问题，请不要使用错误跟踪器，也不要公开发布它。ob娱乐下载相反，所有安全问题都必须发送到www.pdashmedia.com的安全ob娱乐下载．发送到此地址的电子邮件将被转发到Symfony核心团队的私人邮件列表。ob娱乐下载

解决的过程

对于每个报告，我们首先尝试确认漏洞。确认后，核心团队按照以下步骤制定解决方案:

1. 向记者发送确认;
2. 在补丁上工作;
3. 从mitre.org获取CVE标识符;

4. 为官方Symfony编写安全公告ob娱乐下载博客关于漏洞。这篇文章应包含以下信息:

   • 标题总是包含“安全发布”字符串;
   • 漏洞描述;
   • 受影响的版本;
   • 可能的利用;
   • 如何修补/升级/解决受影响的应用程序;
   • CVE标识符;
   • 学分。
5. 将补丁和公告发送给记者审核;
6. 将补丁应用到Symfony的所有维护版本;ob娱乐下载
7. 为所有受影响的版本打包新版本;
8. 在Symfony官方发布这篇文章ob娱乐下载博客(它也必须添加到“安全建议_”类别中);
9. 更新安全咨询列表(见下文)。

与下游开源项目合作

由于Sob娱乐下载ymfony被许多大型开源项目所使用，我们标准化了Symfony安全团队与下游项目在安全问题上的协作方式。具体流程如下:

1. 在Symfony安全ob娱乐下载团队确认安全问题后，它立即向下游项目安全团队发送电子邮件，告知他们该问题;
2. Symfob娱乐下载ony安全团队创建了一个私有Git存储库，以简化问题上的协作，并将此存储库的访问权授予Symfony安全团队、受问题影响的Symfony贡献者以及每个下游项目的代表;
3. 所有能够访问私有存储库的人都致力于通过拉请求、代码审查和注释来解决问题;
4. 一旦找到修复，所有涉及的项目合作寻找联合发布的最佳日期(不能保证所有发布将在同一时间，但我们将努力使他们在同一时间)。当这个问题还不知道是否在野外被利用时，两周的时间似乎是合理的。

参与这一过程的下游项目列表保持尽可能小，以便在披露之前更好地管理机密信息的流动。因此，Symfony安全团队可以自行决定是否包含项目。ob娱乐下载

到目前为止，以下项目已经验证了该流程，并且是该流程中包含的下游项目的一部分:

• Drupal(通常在周三发布)
• eZPublish

安全警告

本节索引从Symfony 1.0.0开始在Symfony发行版中修复的安全漏洞:ob娱乐下载

• 2015年11月23日CVE-2015-8125:安全记住我服务中潜在的远程定时攻击漏洞(2.3.35、2.6.12及2.7.7)
• 2015年11月23日CVE-2015-8124:“记住我”登录特性中的会话固定(2.3.35、2.6.12及2.7.7)
• 2015年5月26日:CVE-2015-4050: ESI未授权访问(ob娱乐下载Symfony 2.3.29, 2.5.12和2.6.8)
• 2015年4月1日:请求类中的不安全方法(ob娱乐下载Symfony 2.3.27, 2.5.11和2.6.6)
• 2015年4月1日:CVE-2015-2308: Esi代码注入(ob娱乐下载Symfony 2.3.27, 2.5.11和2.6.6)
• 2014年9月3日:CVE-2014-6072: Web分析器中的CSRF漏洞(ob娱乐下载Symfony 2.3.19, 2.4.9和2.5.4)
• 2014年9月3日:CVE-2014-6061:解析授权报头时的安全问题(ob娱乐下载Symfony 2.3.19, 2.4.9和2.5.4)
• 2014年9月3日:CVE-2014-5245:直接访问可信代理后面的ESI url(ob娱乐下载Symfony 2.3.19, 2.4.9和2.5.4)
• 2014年9月3日:CVE-2014-5244:恶意HTTP主机报头拒绝服务(ob娱乐下载Symfony 2.3.19, 2.4.9和2.5.4)
• 2014年7月15日:安全版本:已发布Symfony 2.3ob娱乐下载.18、2.4.8和2.5.2（cve - 2014 - 4931）
• 2013年10月10日:安全版本:Symfony 2.0.25ob娱乐下载、2.1.13、2.2.9和2.3.6（cve - 2013 - 5958）
• 2013年8月7日:安全版本:已发布Symfony 2.0ob娱乐下载.24、2.1.12、2.2.5和2.3.3（cve - 2013 - 4751而且cve - 2013 - 4752）
• 2013年1月17日安全发布:Symfony 2.0.2ob娱乐下载2和2.1.7发布（cve - 2013 - 1348而且cve - 2013 - 1397）
• 2012年12月20日:安全版本:Symfony 2.0.2ob娱乐下载0和2.1.5（cve - 2012 - 6431而且cve - 2012 - 6432）
• 2012年11月29日:安全版本:Symfony 2.0.1ob娱乐下载9和2.1.4
• 2012年11月25日:安全发布:symfony 1.4.2ob娱乐下载0发布（cve - 2012 - 5574）
• 2012年8月28日:安全发布:Symfony 2.0.1ob娱乐下载7发布
• 2012年5月30日:安全发布:symfony 1.4.1ob娱乐下载8发布（cve - 2012 - 2667）
• 2012年2月24日:安全发布:Symfony 2.0.1ob娱乐下载1发布
• 11月16日:安全版本:Symfony 2.0.6ob娱乐下载
• 2011年3月21日ob娱乐下载Symfony 1.3.10和1.4.10:安全版本
• 2010年6月29日:安全版本:symfony 1.3.6ob娱乐下载和1.4.6
• 2010年5月31日:ob娱乐下载Symfony 1.3.5和1.4.5
• 2010年2月25日:安全版本:1.2.12、1.3.3和1.4.3
• 2010年2月13日:ob娱乐下载Symfony 1.3.2和1.4.2
• 2009年4月27日:ob娱乐下载symfony 1.2.6:安全修复
• 2008年10月3日ob娱乐下载symfony 1.1.4发布:安全修复
• 2008年5月14日:ob娱乐下载Symfony 1.0.16已经发布
• 2008年4月1日:ob娱乐下载Symfony 1.0.13已经发布
• 2008年3月21日:ob娱乐下载Symfony 1.0.12终于出来了!
• 2007年6月25日:ob娱乐下载Symfony 1.0.5发布(安全修复)