cve - 2020 - 15094:防止远端控制设备当调用远程与CachingHttpClient不可信
2020年9月2日·发表的法比安效力
影响版本
ob娱乐下载Symfony 4.3, 4.4.0 4.4.12, 5.0, 5.1.0 5.1.4版本的Symfony HttpClient组件受此影响安全问题。
这个问题已经固定在Symfony任一端,是5.1.5。ob娱乐下载ob娱乐下载Symfony 4.3和5.0不会修补不再维护。
描述
的CachingHttpClient
HttpClient Symfony componeob娱乐下载ny依赖类HttpCache
类来处理请求。HttpCache
使用内部标题像X-Body-Eval
和X-Body-File
控制恢复缓存响应。类最初是用代理缓存和ESI支持(所有HTTP调用来自可信端在这种情况下)。但是,当使用CachingHttpClient
如果攻击者可以控制响应一个请求是由CachingHttpClient
、远程代码执行是可能的。
决议
HTTP头信息为内部使用而设计的HttpCache
现在将从远程响应之前被传递给吗HttpCache
。
这个问题是可用的补丁在这里4.4分支。
学分
我要感谢马提亚Pigulla (webfactory GmbH)报告和解决这个问题。
发表在#安全警告
发现Symfony的安全问题?ob娱乐下载将详细信息发送到安全[在]symfony.cob娱乐下载om不公开披露它,直到我们可以提供一个解决。
管理你的通知偏好尽快收到一封电子邮件一个Symfony的安全版本出版。ob娱乐下载
评论
评论都关门了。
以确保评论保持相关,他们关闭了旧的帖子。