Информация по безопасности / 2015 / Информация о безопасности -- DSA-3276-1 symfony

Рекомендация Debian по безопасности

DSA-3276-1 symfony -- обновление безопасности

Дата сообщения:

31.05.2015

Затронутые пакеты:

symfony

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-4050.

Более подробная информация:

Якуб Залас обнаружил, что Symfony, инфраструктура для создания веб-сайтов и веб-приложений, содержит уязвимость, позволяющую обходить ограничения. Уязвимость касается приложений, в которых включена поддержка ESI или SSI, и использующих FragmentListener. Злоумышленник может вызвать любой контроллер с помощью /_fragment, передав в URL неправильный хэш (либо удалив его), что приводит к обходу проверки подписи URL и обходу правил безопасности.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 2.3.21+dfsg-4+deb8u1.

В тестируемом выпуске (stretch) эта проблема была исправлена в версии 2.7.0~beta2+dfsg-2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.7.0~beta2+dfsg-2.

Рекомендуется обновить пакеты symfony.