Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3276-1 symfony

Debians sikkerhedsbulletin

DSA-3276-1 symfony -- sikkerhedsopdatering

Rapporteret den:

31. maj 2015

Berørte pakker:

symfony

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-4050.

Yderligere oplysninger:

Jakub Zalas opdagede at Symfony, et framework til fremstilling af websteder og webapplikationer, var sårbart over for begrænsingsomgåelse. Det påvirkede applikationer med aktiveret understøttelse af ESI eller SSI, som anvender FragmentListener. En ondsindet bruger kunne kalde en controller via stien /_fragment, ved at levere en ugyldig hash i URL'en (eller fjerne den), som omgik URL-signering og sikkerhedsregler.

I den stabile distribution (jessie), er dette problem rettet i version 2.3.21+dfsg-4+deb8u1.

I distributionen testing (stretch), er dette problem rettet i version 2.7.0~beta2+dfsg-2.

I den ustabile distribution (sid), er dette problem rettet i version 2.7.0~beta2+dfsg-2.

Vi anbefaler at du opgraderer dine symfony-pakker.